Отчет об оценке рисков

Отчет об оценкерисков необходим для руководства и всех заинтересованных сторон, вовлеченных в процесс управления рисками. Другими словами, этот документ нужен для коммуникации рисков. Результаты оценки рисков могут служить предметом рассмотрения на заседании Управляющего комитета по информационной безопасности.

 

_____________________________________

Краткая структура отчета об оценке рисков:

  • Введение

-         Основания, общие сведения

-         Цели и задачи

  • Методология и результаты

-         Идентификация активов и требований

-         Оценка активов и последствий

-         Анализ угроз и уязвимостей

-         Вычисление и оценивание рисков

  • Резюме рисков для руководства

-         Описание самых высоких рисков и причин их существования

  • Приложения

-         Реестры активов, требований и рисков

-         Таблицы определения ценности активов и ущерба для бизнеса

______________________________________

 

Отчет об оценке рисков обычно включает в себя введение, краткое описание используемой методологии оценки рисков со ссылкой на соответствующие приложения и резюме рисков.

Важнейшей частью этого отчета является резюме рисков, адресованное руководству организации принимающему решения по рискам. В этом разделе в краткой повествовательной форме описываются самые высокие риски организации, на которые руководству следует обратить первоочередное внимание, с указанием ожидаемого среднегодового ущерба и перечислением уязвимостей, способствующих реализации данных рисков. По всем остальным рискам, оценочный уровень которых ниже, читатели отчета переадресуются к реестру информационных рисков.

Отчет об оценке рисков, как и другие документы по рискам, должен носить конфиденциальный характер и защищаться от несанкционированного доступа, наряду с другими секретами.

Конечно, на этом оценка рисков не заканчивается. Высокоуровневая оценка позволила расставить необходимые приоритеты, выявив и обосновав те группы рисков и механизмов контроля, которые имеют наибольшее значение. Для организаций с относительно невысокой степенью зависимости от информационных технологий этого уже может оказаться достаточно. Для остальных организаций потребуется дальнейшая детализация угроз, уязвимостей и механизмов контроля, в результате чего количество рассматриваемых групп рисков может возрасти с нескольких десятков до нескольких сотен.