Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022

ОПР.13.3 Валидацию и верификацию со стороны подразделений, формирующих «вторую» и «третью линии защиты», методологии и внутренней отчетности в рамках управления риском реализации информационных угроз; 

 6.1.2 Снижение риска и использование возможностей 

Организация должна планировать:

 6.1.1 Определение риска и благоприятных возможностей 
При планировании СМНД организация должна учитывать вопросы, указанные в 4.1. требования, указанные в 4.2, и определить риски и возможности: 

ID.GV-4: Процессы руководства и управления рисками направлены на устранение рисков кибербезопасности 

6.1.1 Общие положения 
При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для: 
а) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов; 
b) предотвращения или уменьшения нежелательных последствий (Например, реализации рисков информационной безопасности);  
с) обеспечения постоянного улучшения (Например, уровня информационной безопасности). 
Организация должна планировать: 
d) действия по рассмотрению данных рисков и возможностей; 
е) каким образом: 
1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности; 
2) оценивать результативность этих действий. 

Each organization develops within a complex computing environment specific to itself. As such, any position taken or action plan involving the information system security must be considered in light of the risks foreseen by the management. Whether it is organisational or technical measures, their implementation represents a cost for the organization, which needs to ensure that they are able to reduce an identified risk to an acceptable level.
 
In the most sensitive cases, the risk analysis may call into question certain previous choices. This may be the case if the probability of an event appearing and its potential consequences prove critical for the organization and there is no preventive action to control it. 

The recommended approach consists, in broad terms, of defining the context, assessing the risks and dealing with them. The risk assessment generally works by considering two areas: the likelihood and the impacts. This is then followed by the creation of a risk treatment plan to be validated by a designated authority at a higher level. 

Three kinds of approach can be considered to control the risks associated with the information system:

In this last case, the EBIOS method referenced by ANSSI is recommended. It is able to write down security needs, identify the security objectives and determine the security demands 

6.1.1 General
When planning for the information security management system, the organization shall consider the issues  referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to:

The organization shall plan:

Мероприятия по снижению рисков КБ учитываются при формировании стратегических инициатив

Мероприятия по предотвращению недопустимых событий / ключевых рисков КБ учитываются при формировании стратегических инициатив