Установление значения риска производится на основе приложения E ГОСТ Р ИСО/МЭК 27005-2010. Из данного приложения взята таблица по которой определяется степень вероятности сценария инцидента (Таблица 3).
Таблица 3. Степень риска в зависимости от степени вероятности сценария инцидента и влияния на бизнес
Степень вероятности сценария инцидента | Очень низкая | Низкая | Средняя | Высокая | Очень высокая | |
Влияние на бизнес | Очень низкое | 0 | 1 | 2 | 3 | 4 |
Низкое | 1 | 2 | 3 | 4 | 5 | |
Среднее | 2 | 3 | 4 | 5 | 6 | |
Высокое | 3 | 4 | 5 | 6 | 7 | |
Очень высокое | 4 | 5 | 6 | 7 | 8 |
После определения степени риска он отображается на рейтинг рисков, который определен в таблице Таблица 5.
Таблица 4. Значение рейтинга риска в зависимости от степени риска
Степень риска | Рейтинг риска |
0-3 | Низкий риск |
4-5 | Средний риск |
6-8 | Высокий риск |
Степень риска и рейтинг риска для каждого сценария инцидента определены в таблице
Таблица 5.
Сценарий инцидента | Степень риска | Рейтинг риска |
Пожар из-за неисправной системы пожарообнаружения на территории склада | 4 | Средний риск |
Пожар из-за неисправной системы пожаротушения на территории склада | 5 | Средний риск |
Пожар из-за уязвимости нарушения правил устройства и эксплуатации электрооборудования на территории склада | 1 | Низкий риск |
Авария несоблюдения водителем транспортного правил дорожного движения | 3 | Низкий риск |
Порча товара из-за несоблюдения правил хранения | 2 | Низкий риск |
Разрушение оборудования из-за недостаточного технического обслуживания | 2 | Низкий риск |
Отказ обслуживания из-за неправильной конфигурации программного обеспечения | 4 | Средний риск |
Кража информации из-за неправильной конфигурации программного обеспечения | 5 | Средний риск |
Заражение системы из-за неправильной конфигурации программного обеспечения | 5 | Средний риск |
Отказ обслуживания из-за использования компонентов с известными уязвимостями | 5 | Средний риск |
Кража информации из-за использования компонентов с известными уязвимостями | 6 | Высокий риск |
Заражение системы из-за использования компонентов с известными уязвимостями | 5 | Средний риск |
Оценка риска
В качестве результатов оценки рисков выступает перечень рисков, которые необходимо обработать с назначенными приоритетами. В качестве критерия выбора того, какие риски необходимо обработать будем считать рейтинг риска. Если рейтинг риска меньше среднего, то риск принимается и в дальнейшем не обрабатывается. Приоритеты обработки рисков назначаются в соответствии со степенью риска. Перечень рисков с назначенными приоритетами, которые необходимо обработать представлен в таблице
Таблица 6. Перечень рисков с приоритетами
Риск | Приоритет |
Кража информации из-за использования компонентов с известными уязвимостями | 1 |
Отказ обслуживания из-за использования компонентов с известными уязвимостями | 2 |
Заражение системы из-за использования компонентов с известными уязвимостями | 2 |
Пожар из-за неисправной системы пожаротушения на территории склада | 2 |
Кража информации из-за неправильной конфигурации программного обеспечения | 2 |
Заражение системы из-за неправильной конфигурации программного обеспечения | 2 |
Отказ обслуживания из-за неправильной конфигурации программного обеспечения | 3 |
Пожар из-за неисправной системы пожарообнаружения на территории склада | 3 |
Заключение
В работе были рассмотрены и проанализированы основные положения стандарта ГОСТ Р ИСО/МЭК 27005-2010, было проведено описание представленной в стандарте методики проведения оценки рисков. На примере интернет-магазина «Wildberries» произведено выполнение описанной методики. В результате выполнения работы были определены угрозы, уязвимости, сценарии инцидентов и перечень рисков с назначенными приоритетами для обработки.
Дата: 2019-02-02, просмотров: 233.