Материалы представленные на сайте исключительно с целью ознакомления пользователям Интернета и не преследуют коммерческих целей или нарушение авторских прав.
© 2018 - 2025
Установление значения риска производится на основе приложения E ГОСТ Р ИСО/МЭК 27005-2010. Из данного приложения взята таблица по которой определяется степень вероятности сценария инцидента (Таблица 3).
Таблица 3. Степень риска в зависимости от степени вероятности сценария инцидента и влияния на бизнес
| Степень вероятности сценария инцидента | Очень низкая | Низкая | Средняя | Высокая | Очень высокая | |
| Влияние на бизнес | Очень низкое | 0 | 1 | 2 | 3 | 4 |
| Низкое | 1 | 2 | 3 | 4 | 5 | |
| Среднее | 2 | 3 | 4 | 5 | 6 | |
| Высокое | 3 | 4 | 5 | 6 | 7 | |
| Очень высокое | 4 | 5 | 6 | 7 | 8 |
После определения степени риска он отображается на рейтинг рисков, который определен в таблице Таблица 5.
Таблица 4. Значение рейтинга риска в зависимости от степени риска
| Степень риска | Рейтинг риска |
| 0-3 | Низкий риск |
| 4-5 | Средний риск |
| 6-8 | Высокий риск |
Степень риска и рейтинг риска для каждого сценария инцидента определены в таблице
Таблица 5.
| Сценарий инцидента | Степень риска | Рейтинг риска |
| Пожар из-за неисправной системы пожарообнаружения на территории склада | 4 | Средний риск |
| Пожар из-за неисправной системы пожаротушения на территории склада | 5 | Средний риск |
| Пожар из-за уязвимости нарушения правил устройства и эксплуатации электрооборудования на территории склада | 1 | Низкий риск |
| Авария несоблюдения водителем транспортного правил дорожного движения | 3 | Низкий риск |
| Порча товара из-за несоблюдения правил хранения | 2 | Низкий риск |
| Разрушение оборудования из-за недостаточного технического обслуживания | 2 | Низкий риск |
| Отказ обслуживания из-за неправильной конфигурации программного обеспечения | 4 | Средний риск |
| Кража информации из-за неправильной конфигурации программного обеспечения | 5 | Средний риск |
| Заражение системы из-за неправильной конфигурации программного обеспечения | 5 | Средний риск |
| Отказ обслуживания из-за использования компонентов с известными уязвимостями | 5 | Средний риск |
| Кража информации из-за использования компонентов с известными уязвимостями | 6 | Высокий риск |
| Заражение системы из-за использования компонентов с известными уязвимостями | 5 | Средний риск |
Оценка риска
В качестве результатов оценки рисков выступает перечень рисков, которые необходимо обработать с назначенными приоритетами. В качестве критерия выбора того, какие риски необходимо обработать будем считать рейтинг риска. Если рейтинг риска меньше среднего, то риск принимается и в дальнейшем не обрабатывается. Приоритеты обработки рисков назначаются в соответствии со степенью риска. Перечень рисков с назначенными приоритетами, которые необходимо обработать представлен в таблице
Таблица 6. Перечень рисков с приоритетами
| Риск | Приоритет |
| Кража информации из-за использования компонентов с известными уязвимостями | 1 |
| Отказ обслуживания из-за использования компонентов с известными уязвимостями | 2 |
| Заражение системы из-за использования компонентов с известными уязвимостями | 2 |
| Пожар из-за неисправной системы пожаротушения на территории склада | 2 |
| Кража информации из-за неправильной конфигурации программного обеспечения | 2 |
| Заражение системы из-за неправильной конфигурации программного обеспечения | 2 |
| Отказ обслуживания из-за неправильной конфигурации программного обеспечения | 3 |
| Пожар из-за неисправной системы пожарообнаружения на территории склада | 3 |
Заключение
В работе были рассмотрены и проанализированы основные положения стандарта ГОСТ Р ИСО/МЭК 27005-2010, было проведено описание представленной в стандарте методики проведения оценки рисков. На примере интернет-магазина «Wildberries» произведено выполнение описанной методики. В результате выполнения работы были определены угрозы, уязвимости, сценарии инцидентов и перечень рисков с назначенными приоритетами для обработки.
Дата: 2019-02-02, просмотров: 233.