ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

6.1.1 Общие положения 
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для: 
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов; 
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);  
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности). 
Организация должна планировать: 
d) действия по рассмотрению данных рисков и возможностей; 
е) каким образом: 
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности; 
2) оценивать результативность этих действий. 

6.1.2 Оценка рисков информационной безопасности 
Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет: 
а) устанавливать и поддерживать критерии рисков информационной безопасности, включая: 
1) критерии принятия рисков информационной безопасности; 
2) критерии для проведения оценки рисков информационной безопасности; 
b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты; 
с) идентифицировать риски информационной безопасности, т. е.: 
1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности; 
2) идентифицировать владельцев рисков информационной безопасности; 
d) проводить анализ рисков информационной безопасности, т. е.: 
1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1); 
2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 с) 1); 
3) определять уровни рисков информационной безопасности; 
е) оценивать риски информационной безопасности, т. е.: 
1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 а); 
2) определять приоритетность обработки проанализированных рисков информационной безопасности. 
Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности. 

6.1.3 Обработка рисков информационной безопасности
Организация должна определить и применять процесс обработки рисков информационной безопасности:
а) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;
b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.
Примечание — При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;
с) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 Ь), с указанными в приложении А для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 1 — Приложение А содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению А для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.
Примечание 2 — Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении А меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;
d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит (Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.)

е) разработки плана обработки рисков информационной безопасности;
f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.
Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.

Примечание — Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000.