Определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ

Анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов и бизнес-процессов организации

Определение/уточнение политики для СМИБ организации

Выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ.

Цели ИБ и защитные меры могут быть выбраны на основе раздела 8 настоящего стандарта, а дополнительно на основе:

1) международного стандарта ISO/IEC IS 27001-2005 или положений международного стандарта ISO/IEC IS 17799-2005, обеспечивающего большую детализацию;

2) стандартов ISO TR 13569, COBIT, BSI PAS 56 и других руководств по обеспечению информационной безопасности;

3) ГОСТ Р ИСО/МЭК 15408-1ч3-2002 в части требований к продуктам информационных технологий;

4) стандартов ISO/IEC TR 18028, ISO/IEC TR 18043, ISO/IEC TR 18044 и других стандартов для отдельных областей обеспечения ИБ.

Обоснование по обработке рисков с учетом применения защитных мер должно быть подготовлено в виде отдельного документа (аналогичного документу "Statement of applicability" по ISO/IEC IS 27001), являющегося основой для разработки плана обработки рисков ИБ;