Поможем в ✍️ написании учебной работы

Имя

Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Выберите тип работыЧасть дипломаДипломная работаКурсовая работаКонтрольная работаРешение задачРефератНаучно - исследовательская работаОтчет по практикеОтветы на билетыТест/экзамен onlineМонографияЭссеДокладКомпьютерный набор текстаКомпьютерный чертежРецензияПереводРепетиторБизнес-планКонспектыПроверка качестваЭкзамен на сайтеАспирантский рефератМагистерская работаНаучная статьяНаучный трудТехническая редакция текстаЧертеж от рукиДиаграммы, таблицыПрезентация к защитеТезисный планРечь к дипломуДоработка заказа клиентаОтзыв на дипломПубликация статьи в ВАКПубликация статьи в ScopusДипломная работа MBAПовышение оригинальностиКопирайтингДругое

Нажимая кнопку "Продолжить", я принимаю политику конфиденциальности

 

Согласно ГОСТ Р ИСО/МЭК 27005–2010 и ISO/IEC 27005:2011 входными данными для оценивания рисков являются список оцененных рисков ИБ с приписанными им уровнями и критериями (шкалой) оценивания рисков ИБ. В процессе данной деятельности величина рисков ИБ должна сравниваться с критериями оценивания и принятия рисков. Оценивание риска ИБ проводится путем его сопоставления с заданной шкалой.

При создании контекста управления рисками ИБ определяется характер решений, связанных с оценкой рисков и критериями оценки рисков ИБ, которые используются для принятия таких решений. На данном этапе эти решения и контекст детально анализируется и пересматривается, поскольку уже имеется больше информации о конкретных идентифицированных рисках ИБ. Для оценивания рисков ИБ организация с помощью выбранных методов и подходов сравнивает оцененные ранее риски ИБ с критериями оценивания рисков, определенными при установлении контекста управления рисками.

Критерии оценивания рисков ИБ, используемых для принятия решений, должны быть совместимы с определенным внешним и внутренним

контекстом управления рисками ИБ и учитывать цели организации и мнения причастных сторон и т. д . Принимаемые во время оценивания рисков ИБ решения в основном базируются на уровне приемлемого риска ИБ. Однако следует также рассматривать последствия, вероятность и степень уверенности в идентификации и анализе рисков ИБ. Агрегирование нескольких низких или средних рисков ИБ может привести к гораздо более высоким общим рискам и должно рассматриваться соответствующим образом.

При этом учитываются следующие важные моменты:

1) свойства ИБ: если один критерий не подходит для данной организации (например, потеря конфиденциальности), тогда все связанные с ним риски могут не рассматриваться;

2) значимость бизнес-процессов или деятельности, обеспечиваемой конкретным активом или группой активов: если процесс определен как маловажный (имеющий низкую значимость), связанные с ним риски ИБ учитываются в меньшей степени, чем те, которые влияют на более значимые процессы и действия.

Для принятия решений о будущих действиях оценивание рисков ИБ использует понимание риска, полученное во время анализа рисков ИБ. Такие решения включают следующее два элемента: необходимость в конкретном действии и значимость (приоритеты) для обработки рисков ИБ, основанные на оцененном уровне рисков.

Во время оценивания рисков ИБ также должны учитываться контрактные и законодательные требования и требования регулирующих органов.

Выходными данными является список рисков ИБ с приоритетами, расставленными в соответствии с критериями оценивания рисков по отношению к сценариям инцидентов ИБ, приводящим к данным рискам.

результате данного этапа для всех активов, находящихся в области деятельности рассматриваемой СУИБ, должен быть составлен ранжированный список оцененных рисков ИБ для каждого из возможных воздействий на этот актив.

 

Подходы к оценке рисков ИБ

 

Как отмечалось ранее, для оценки рисков ИБ организация может самостоятельно выбирать различные общие, используемые во всей организации, подходы. Важно, чтобы эти подходы соответствовали всем требованиям организации. Какой именно подход использовать, зависит от нескольких факторов, в том числе:

- от их бизнес-среды и вида бизнеса организации;

- зависимости от обработки информации и приложений, поддерживающих бизнес;

- сложности ИС и поддерживающих систем, приложений и сервисов;

- количества компаний-партнеров и объема внешних деловых и договорных отношений.

Эти факторы являются, как правило, общими для всех направлений деятельности организации, поэтому их необходимо учитывать наряду с преимуществами и недостатками самих подходов. Принимает решение о выборе подхода сама организация. На практике рекомендуется придерживаться следующего правила: чем более важной и необходимой является ИБ для организации и ее бизнеса, и чем больше могут быть потери, тем больше времени и средств необходимо потратить на ОИБ.

Различные подходы к оценке рисков ИБ отличаются требуемым количеством времени и объемом работы, а также глубиной детализации и анализа. Несмотря на то, что организация сама может выбирать подход (подходы) к оценке рисков ИБ, необходимо гарантировать достаточную меру адекватности и подробности применяемого подхода для обеспечения выполнения бизнес-требований и требований по ОИБ организации.

Для различных этапов оценки рисков ИБ применимы различные средства оценки, представленные в табл. 3.6. В ячейках таблицы используются следующие сокращения: П – средство применимо, ХП – хорошо применимо, НП – не применимо.

Таблица 3.6. Применимость средств, используемых для оценки рисков ИБ

Средство	Риск ИБ			Оценка
	Идентификация	Уровень	Оценка	послед ствий	вероятностей
«Мозговой штурм»	ХП	НП	НП	НП	НП
Структурированные и полуструктурированные интервью	ХП	НП	НП	НП	НП
Метод Дельфи	ХП	НП	НП	НП	НП
Контрольные списки	ХП	НП	НП	НП	НП
Первичный анализ опасностей	ХП	НП	НП	НП	НП
Исследование опасностей и работоспособности	ХП	П	П	ХП	П
Анализ опасностей и критических контрольных точек	ХП	НП	ХП	ХП	НП
Оценка риска со стороны внешней среды	ХП	ХП	ХП	ХП	ХП
«Что если?»	ХП	ХП	ХП	ХП	ХП
Анализ сценариев	ХП	П	П	ХП	П
Анализ влияния на бизнес	П	П	П	ХП	П
Анализ основных причин	НП	ХП	ХП	ХП	ХП
Анализ последствий отказов	ХП	ХП	ХП	ХП	ХП
Дерево отказов	П	П	П	НП	ХП
Дерево события	П	П	НП	ХП	П
Анализ причин и следствий	П	П	П	ХП	ХП
Анализ причин и осуществления	ХП	НП	НП	ХП	НП
Анализ защитного слоя	П	П	НП	ХП	П
Дерево решений	НП	П	П	ХП	ХП
Анализ надежности людей	ХП	ХП	П	ХП	ХП
Сопровождение, нацеленное на надежность	ХП	ХП	ХП	ХП	ХП
Марковские цепи	П	НП	ГП	ХП	НП
Метод Монте-Карло	НП	НП	ХП	ГП	НП
Сети и статистика Байеса	НП	НП	ХП	ХП	НП
FN-кривые (частота- фатальный исход)	П	П	ХП	ХП	ХП
Индексы рисков	П	П	ХП	ХП	ХП
Матрица последствий/вероятностей	ХП	ХП	П	ХП	ХП
Анализ «затраты -прибыль»	П	П	П	ХП	П
Многокритериальный анализ принятия решений	П	ХП	П	ХП	П

 

Известно два основных подхода к классификации стратегий оценки и анализа рисков ИБ.

В стандартах ISO/IEC ТR 13335–3:1998 и ГОСТ Р ИСО/МЭК 13335– 3–2007 рассматриваются четыре вида анализа рисков ИБ:

1) базовый (англ. baseline risk analysis) с низкой степенью риска и выбором стандартных защитных мер;

2) неформальный (англ. informal risk analysis) для активов организации, которые, как представляется, подвергаются наибольшему риску;

3) детальный (англ. detailed risk analysis) с использованием формального подхода ко всем активам организации;

4) комбинированный (англ. combined risk analysis) – сначала высокоуровневый анализ для выбора подхода к анализу рисков ИБ с последующим проведением детального анализа для наиболее критичных выделенных систем (если прекращение их функционирования может причинить ущерб или принести убытки организации, отрицательно повлиять на ее бизнес или активы) и базового для всех остальных.

В стандартах ISO/IEC 27005:2011 и ГОСТ Р ИСО/МЭК 27005–2010

выделяются два основных типа оценки рисков ИБ и упоминается их комбинация:

-  высокоуровневая (англ. high-level IS risk assessment);

-  детальная (англ. detailed IS risk assessment).

Если, например, организация или СУИБ и ее ресурсы имеют требования по ОИБ не выше уровней «низкий» и «средний», то может быть достаточно высокоуровневой оценки рисков ИБ. Прикладные методы оценки рисков ИБ, ориентированные на данный уровень, обычно не рассматривают ценность активов и не оценивают эффективности защитных мер. Методы данного класса применяются в случаях, когда к активам организации не предъявляется повышенных требований по ОИБ . Если требования по ОИБ имеют более высокий уровень, требующий более подробной и специальной оценки, то может потребоваться полная, более детальная оценка рисков ИБ, которая определяет ценность активов, оценивает угрозы ИБ и уязвимости, выбирает адекватные защитные меры и оценивает их эффективности. В любом случае для СУИБ, отвечающей требованиям стандарта (например, ISO/IEC 27001:2005 и ГОСТ Р ИСО/МЭК 17799–2005), необходимо гарантировать, что выбранный подход соответствует всем критериям, приведенным в соответствующих разделах этих стандартов.

В Рекомендациях в области стандартизации Банка России РС БР ИББС-2.2–2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» также представлен общий подход к оценке рисков ИБ, заслуживающий отдельного упоминания.

Кратко рассмотрим выше названные подходы.

 

3.3.1. БАЗОВЫЙ АНАЛИЗ РИСКОВ ИБ

 

Любая организация может выработать свой базовый уровень ИБ в соответствии с собственными условиями ведения бизнеса и бизнес-целями. При данном подходе организация может применить базовый уровень ИБ для всех защищаемых активов за счет выбора стандартных защитных мер.

Преимущества использования этого варианта анализа рисков ИБ очевидны:

- возможность обойтись минимальным количеством ресурсов при проведении анализа рисков ИБ для каждого случая принятия защитных мер и, соответственно, потратить меньше времени и усилий на выбор этих мер;

- при применении базовых защитных мер можно принять экономически эффективное решение, поскольку те же или схожие базовые защитные меры могут быть без особых проблем применены во многих системах, если большое число систем в рамках организации функционирует в одних и тех же условиях и предъявляемые к ОИБ требования соизмеримы.

В то же время данный подход имеет следующие недостатки:

- если принимается слишком высокий базовый уровень ИБ, то для ряда активов уровень ОИБ будет завышен и будут выбраны слишком дорогостоящие или излишне ограничительные средства управления;

- если базовый уровень будет принят слишком низким, то для ряда защищаемых активов уровень ОИБ будет недостаточен, что увеличит риск нарушения ИБ;

- могут возникнуть трудности при внесении изменений, затрагивающих вопросы ОИБ (как это требуется на этапах проверки и совершенствования в модели PDCA). Так, если была проведена модернизация системы, то могут возникнуть сложности при оценке способностей первоначально примененных базовых защитных мер и всей СУИБ и далее оставаться достаточно эффективными.

Если все защищаемые в организации активы характеризуются низким уровнем требований по ОИБ, то первый вариант стратегии анализа рисков ИБ может оказаться экономически эффективным. В этом случае базовый уровень ИБ выбирается таким образом, чтобы он соответствовал уровню защиты, требуемому для большинства активов. Для многих организаций для удовлетворения требований правовых и нормативных актов всегда существует необходимость использовать некоторые минимальные стандартные уровни для ОИБ важнейшей информации. Однако в случаях, если отдельные системы организации характеризуются различной степенью критичности, разными объемами и сложностью информации, использование общих стандартов применительно ко всем системам будет логически неверным и экономически неоправданным.

Цель ОИБ на основе базового подхода состоит в том, чтобы подобрать для организации минимальный набор защитных мер для всех или отдельных активов. Используя базовый подход, можно применять соответствующий ему базовый уровень ИБ в организации и, кроме того, дополнительно использовать результаты детального анализа риска ИБ для ОИБ активов с высоким уровнем риска или систем, играющих важную роль в бизнесе организации. Применение базового подхода позволяет снизить инвестиции организации на исследование результатов анализа рисков ИБ.

Требуемая защита при таком подходе обеспечивается за счет использования справочных материалов (каталогов) и лучших практик по защитным мерам, в которых можно подобрать набор средств для защиты активов от наиболее часто встречающихся угроз. Базовый уровень ИБ устанавливается в соответствии с потребностями организации, при этом в проведении детальной оценки угроз ИБ, уязвимостей и рисков ИБ для систем нет необходимости. При наличии в системе установленных защитных мер их сравнивают с рекомендуемыми в каталогах. Защитные меры, которые отсутствуют в системе, но могут быть в ней использованы, должны быть реализованы.

Типичным примером области применения данного подхода является часть организации, в которой проводятся не слишком сложные бизнес-операции и зависимость которой от обработки информации и работы в сети не очень велика. Применение данного подхода возможно также в случае небольших организаций. Однако его могут применять и небольшие организации, которые имеют более сложную бизнес-среду, сильно зависят от использования ИТ, и принимают участие в обработке коммерчески важной информации.

Содержание всех этапов процесса управления рисками ИБ при базовом анализе рисков ИБ приведено в табл. 3.7.

Таблица 3.7. Содержание этапов процесса управления рисками ИБ при базовом анализе рисков ИБ

 

Этапы	Содержание этапов
Идентификация и оценка ценности активов	Оставить список активов, связанных с данной бизнес-средой, операциями и информацией, оцениваемой в пределах области применения СУИБ, и определить уровень их важности, используя простую шкалу оценки
Идентификация угроз ИБ, уязвимостей и последствий	Идентифицировать требования по ОИБ (при этом можно использовать контрольные списки обобщенных или широко известных угроз ИБ и уязвимостей) и определить уровень всех идентифицированных требований по ОИБ, используя простую шкалу оценки
Расчет рисков ИБ	Рассчитать риски ИБ на основе информации об активах и требованиях по ОИБ, используя простую схему расчета.
Идентификация и оценка вариантов обработки рисков ИБ	Идентифицировать подходящий вариант обработки риска ИБ для каждого из идентифицированных рисков; документировать результаты для плана обработки рисков ИБ
Выбор средств управления ИБ, уменьшение и принятие рисков ИБ	Для каждого из идентифицированных активов идентифицировать являющиеся значимыми защитные меры, например, из стандарта ISO/IEC 27002. Гарантировать, что выбранные меры уменьшают риски ИБ до приемлемого уровня

 

3.3.2. НЕФОРМАЛЬНЫЙ АНАЛИЗ РИСКОВ ИБ

 

Второй вариант анализа рисков ИБ основан на практическом опыте конкретного эксперта и предполагает использование знаний и практического опыта специалистов, а не структурных методов. Этот подход обладает следующими достоинствами: не требует использования значительных средств или времени – эксперт не должен приобретать дополнительные знания, а затраты времени на анализ рисков ИБ при этом меньше, чем при проведении детального анализа.

Однако данный подход имеет и свои недостатки:

- при отсутствии хотя бы одного элемента базового анализа рисков ИБ или комплексного перечня средств управления увеличивается вероятность пропуска ряда важных деталей у всех активов организации;

- могут возникнуть трудности при обосновании необходимости реализации защитных мер, определенных по результатам данного анализа рисков ИБ;

- для экспертов, не обладающих значительным опытом работы в области анализа рисков ИБ, не существует готовых рекомендаций, которые могли бы облегчить их работу;

- подходы организации к анализу рисков ИБ в прошлом были продиктованы исключительно оценкой уязвимостей систем, то есть потребность в защитных мерах основывалась на наличии у этих систем уязвимостей без анализа того, существуют ли угрозы ИБ, способные использовать этих уязвимости (без обоснования реальной необходимости в использовании защитных мер);

- результаты проведения анализа могут в какой-то мере зависеть от субъективного подхода, личных предубеждений эксперта и, кроме того, могут возникнуть проблемы в случае, если специалист, который проводил неформальный анализ, покидает организацию.

 

3.3.3. ДЕТАЛЬНЫЙ АНАЛИЗ РИСКОВ ИБ

 

Детальный анализ рисков ИБ предполагает получение результатов для всех активов организации и включает в себя подробную идентификацию и оценку активов, возможных угроз ИБ, которым могут подвергнуться эти активы, а также оценку их уязвимостей . Результаты этих операций затем используют для оценки рисков ИБ и последующего обоснованного выбор защитных мер, обеспечивающих уменьшение рисков до приемлемого уровня (если был выбран данный вариант обработки риска).

Данный подход имеет следующие преимущества:

- получается точное и детальное представление о рисках ИБ, которое позволяет идентифицировать уровни ИБ и отражает требования по ОИБ организации к активам и СУИБ в целом;

- с высокой вероятностью в результате этого подхода для каждой из систем будут определены соответствующие ей защитные меры;

- результаты проведения детального анализа могут быть использованы при управлении изменениями в СОИБ (как это требуется на этапах проверки и совершенствования модели PDCA).

В то же время подход характеризуется следующими недостатками, по которым его применение ко всем активам организации не рекомендуется:

- для его реализации и получения нужного результата требуется затратить значительное количество средств, времени и квалифицированного труда;

- существует вероятность того, что определение необходимых защитных мер для какой-либо критической системы произойдет слишком поздно, поскольку анализ будет проводиться одинаково тщательно для всех активов и для проведения анализа всех систем потребуется значительное время.

Детальный анализ рисков ИБ может быть очень ресурсоемким процессом , и поэтому требуется тщательное определение границ бизнес-среды, операций, активов в области действия СУИБ. Кроме того, подобный подход требует постоянного внимания со стороны руководства.

Такой анализ рисков ИБ отличается от базового тем, что выполняется более детальный анализ активов и требований по ОИБ (табл. 3.8).

 

Таблица 3.8. Содержание этапов процесса управления рисками ИБ при детальном анализе рисков ИБ

 

Название этапа	Содержание этапа
Идентификация и оценка активов	Идентифицировать и составить список всех активов, связанных с бизнес-средой, операциями и информацией в пределах области действия данной СУИБ, задать шкалу оценок и для каждого актива определить оценки по данной шкале (по одной оценке для каждого фактора: конфиденциальности, целостности и доступности, а также, при необходимости, любого другого фактора)
Идентификация требований по ОИБ	Идентифицировать все требования по ОИБ (угрозы ИБ и уязвимости, правовые требования и бизнес-требования),  связанные со списком активов, находящихся в области действия СУИБ
Оценка требований по ОИБ	Идентифицировать необходимую шкалу оценок для требований по ОИБ и определить соответствующую оценку для каждого из идентифицированных требований
Расчет рисков ИБ	Рассчитать риски ИБ (исходя из активов и требований по ОИБ, а также уровней их значимости, полученных в результате указанного выше оценивания) с помощью одного из методов оценки рисков, соответствующего требованиям по ОИБ для рассматриваемой СУИБ
Идентификация и оценивание вариантов обработки рис- ков ИБ	Идентифицировать подходящее действие по обработке рисков ИБ для каждого из идентифицированных рисков. Оценить реалистичность идентифицированного варианта, его адекватность и соответствие всем бизнес-требованиям и требованиям по ОИБ. Документировать результаты для плана обработки рисков ИБ
Выбор средств управления рисками ИБ, уменьшение и принятие рис- ков ИБ	Определить величину приемлемого риска ИБ для выбранного метода оценки рисков и гарантировать соответствие этого уровня приемлемого риска бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ. Для тех рисков ИБ, для которых был выбран вариант уменьшения риска, выбрать, например, из стандартов ISO/IEC 27002 и ГОСТ Р ИСО/МЭК 17799, подходящие защитные меры, позволяющие уменьшить эти риски до приемлемого уровня. Оценить, в какой степени выбранные меры уменьшают идентифицированные риски. Для каждого риска ИБ, который не может быть уменьшен до приемлемого уровня, идентифицировать дополнительные действия по его обработке (либо утверждение руководством принятия этого риска по соображениям бизнеса, либо дальнейшее уменьшение риска)

 

3.3.4. КОМБИНИРОВАННЫЙ АНАЛИЗ РИСКОВ ИБ

 

Этот подход предполагает идентификацию в первую очередь тех активов из области деятельности СУИБ, которые потенциально имеют большую величину риска ИБ или являются критичными для выполнения бизнес-процессов . На основании полученных результатов все активы, входящие в область деятельности СУИБ, подразделяются на активы, для достижения надлежащей защиты которых требуется проведение детальной оценки рисков ИБ, и ресурсы, для которых достаточно высокоуровневой оценки рисков ИБ. Такой подход позволяет объединить преимущества двух подходов и минимизировать их недостатки, поэтому он минимизирует время и усилия, которые тратятся на идентификацию защитных мер, и обеспечивает при этом надлежащую оценку и защиту активов организации. Кроме того, комбинированный вариант анализа рисков ИБ имеет следующие преимущества:

- использование быстрого и простого предварительного анализа рисков ИБ позволяет обеспечить принятие программы анализа рисков ИБ;

- существует возможность быстро оценить оперативное состояние программы ОИБ организации, то есть использование такого подхода будет в значительной мере способствовать успешному планированию;

- ресурсы и средства вкладываются именно туда, где они принесут максимальный эффект, так как они в первую очередь будут направлены в те системы, которые в наибольшей степени нуждающиеся в ОИБ;

- проведение последующих мероприятий будет более успешным.

Данный подход имеет следующий недостаток: поскольку предварительный анализ рисков ИБ проводят, исходя из предположения об их возможном высоком уровне, отдельные системы могут быть ошибочно отнесены к системам, не требующим проведения детального анализа рисков, и к ним в дальнейшем будут применены базовые меры ОИБ. При необходимости к рассмотрению этих систем можно вернуться с тем, чтобы удостовериться, не требуют ли они более тщательного по сравнению с базовым подходом рассмотрения.

Использование комбинированного подхода с анализом высокого уровня рисков ИБ в сочетании с базовым подходом и (если необходимо) детальным анализом рисков обеспечивает большинству организаций наиболее эффективное решение проблем. Таким образом, подобный анализ является наиболее предпочтительным.

 

3.3.5. ВЫСОКОУРОВНЕВАЯ ОЦЕНКА РИСКОВ ИБ

 

Высокоуровневая оценка рисков ИБ позволяет расставить приоритеты и определить хронологию действий . В силу различных причин, например таких, как ограниченный бюджет , не всегда все средства управления рисками ИБ возможно реализовать одновременно, и только наиболее значимые риски ИБ могут быть устранены в рамках процесса обработки рисков. Также преждевременно начинать детальное управление рисками ИБ, если реализация ИС предусмотрена только через один или два года. В этом случае высокоуровневая оценка рисков ИБ может начинаться с высокоуровневой оценки последствий , а не с систематического анализа угроз ИБ, уязвимостей, активов и последствий. Другая причина – необходимость синхронизации с другими планами, связанными с изменением управления или непрерывностью бизнеса. Например, не обосновано особо тщательно защищать систему или приложение, если в ближайшее время оно будет отдано на аутсорсинг, хотя произвести оценку рисков ИБ стоит для отражения ее результатов в контракте на аутсорсинг или даже принятия решения о целесообразности аутсорсинга в данном конкретном случае.

Особенности данного подхода к оценке рисков ИБ включают в себя следующее:

- при такой оценке организация и ее ИС рассматриваются более глобально, учитывая технологические аспекты в отрыве от бизнеса. Но при этом контекст анализа больше концентрируется на среде осуществления бизнеса и его функционировании, чем на технологических элементах;

- при такой оценке рассматривается более ограниченный список угроз ИБ и уязвимостей, группируемых в определенных областях, а для ускорения процесса оценки она фокусируется на общих рисках или сценариях атак, а не на их элементах;

- риски ИБ, выявленные при высокоуровневой оценке, являются более общими, чем более специальные идентифицированные риски. Поскольку сценарии атак или угрозы ИБ группируются по некоторым областям, процесс обработки рисков ИБ определяет средства управления для этих областей. Такая деятельность в первую очередь устанавливает наиболее общие средства управления рисками ИБ, которые применимы для всей системы в целом;

- Однако, поскольку такая оценка редко рассматривает детали технологий, она более подходит для обеспечения организационного и нетехнического контроля, управленческих аспектов технического контроля или ключевых и общих технических мер, таких как резервное копирование и антивирус.

Высокоуровневая оценка рисков ИБ имеет следующие преимущества:

- использование на начальных стадиях простого подхода позволяет более легко одобрить программу оценки рисков ИБ;

- становится возможным построить стратегическую картину программы ОИБ в организации, то есть такой подход служит хорошей помощью при планировании;

- ресурсы и финансы используются там, где они принесут наибольшую выгоду, а системы, нуждающиеся в защите в первую очередь, будут защищены первыми.

Поскольку начальный анализ рисков ИБ проводится на высоком уровне и потенциально менее точен, единственным его недостатком является то, что некоторые бизнес-процессы или системы не могут быть определены, как этого требует детальная оценка рисков ИБ. Этого можно избежать, если имеется достаточно информации по всей организации и ее системам, включая информацию, полученную в результате оценки инцидентов ИБ.

Высокоуровневая оценка рисков ИБ рассматривает ценность информационных активов и риски ИБ с точки зрения бизнеса организации. В первой точке принятия решения (рис. 2.4) ряд факторов помогает определить, является ли оценка рисков ИБ достаточной для их обработки. Эти факторы могут включать в себя следующее:

- задачи бизнеса решаются с использованием различных информационных активов;

- степень, с которой бизнес организации зависит от каждого информационного актива (то есть зависят ли функции, которые организация считает критическим для ее выживания или эффективного ведения бизнеса, от каждого актива или от конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и надежности информации, хранимой или обрабатываемой в этом активе);

- уровень инвестиций в каждый информационный актив в терминах разработки, поддержания или замены актива;

- информационные активы, для которых организация присваивает стоимость (ценность) напрямую (непосредственно).

При оценке этих факторов принятие решения облегчается. Если задачи, выполняемые активами, крайне важны для ведения бизнеса организации или если эти активы подвергаются высокому риску, тогда для конкретного информационного актива (или его части) должна проводиться вторая итерация – детальная оценка рисков ИБ.

Общее применяемое в этом случае правило таково: если недостаток ОИБ может привести к значительным негативным последствиям для организации, ее бизнес-процессам или активам, тогда для выявления потенциальных рисков ИБ необходима вторая итерация оценки рисков на более детальном уровне.

 

3.3.6. ДЕТАЛЬНАЯ ОЦЕНКА РИСКОВ ИБ

 

Процесс детальной оценки рисков ИБ включает в себя всестороннюю идентификацию и оценивание активов, оценку угроз ИБ для этих активов и оценку уязвимостей . Результаты процесса далее используются для оценки рисков ИБ и определения способов их обработки. Такой подход обычно требует значительного времени, усилий и опыта и поэтому наиболее применим к ИС, находящимся под высоким риском ИБ. На конечном этапе данного процесса получается всесторонняя оценка рисков ИБ.

Последствия могут быть оценены несколькими способами, включая количественный (например, денежный), качественный (использующий прилагательные типа «умеренный» или «тяжелый») и комбинированный подходы.

Для оценки вероятности реализации угроз ИБ устанавливается временной интервал, в течение которого актив будет ценен для организации и его нужно будет защищать. Вероятность реализации отдельной угрозы ИБ определяется нескольким факторами:

- привлекательность актива или возможное применимое воздействие, когда рассматривается преднамеренная угроза ИБ со стороны человека;

- простота использования уязвимости актива для получения выгоды злоумышленником, когда рассматривается преднамеренная угроза ИБ со стороны человека;

- технические возможности источника угроз ИБ, когда рассматривается преднамеренная угроза ИБ со стороны человека;

- чувствительность уязвимости к использованию, применимая как к техническим, так и нетехническим уязвимостям.

Многие применяемые для этих целей в настоящее время методы используют таблицы и объединяют субъективные и эмпирические показатели. Важно, чтобы организация использовала метод который ей удобен, которому она доверяет и который будет выдавать повторяемые результаты.

Как правило, для оценки угроз ИБ и уязвимостей применяются различные методы, в основе которых могут лежать экспертные оценки, статистические данные или учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методов – накопление статистических данных об имевших место происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. Эта информация позволяет оценить угрозы ИБ и уязвимости в других ИС. Однако при практической реализации такого подхода возникают следующие сложности. Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области. Во-вторых, данный подход оправдан далеко не всегда. Если ИС достаточно крупная (содержит много элементов, расположена на большой территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если же ИС сравнительно невелика и эксплуатирует новейшие ИТ, для которых пока нет достоверной статистики, оценки угроз ИБ и уязвимостей могут оказаться недостоверными.

Поэтому наиболее распространен в настоящее время подход, основанный на учете различных факторов, влияющих на уровни угроз ИБ и уязвимостей. Он позволяет абстрагироваться от малосущественных технических деталей, принять во внимание не только программно-технические, но и иные аспекты. Несомненное достоинство подхода – возможность учета многих косвенных факторов (не только технических). Метод прост и дает владельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить полученную оценку. Недостатки – косвенные факторы и их вес зависят от бизнеса организации и ряда других обстоятельств, поэтому метод всегда требует подстройки под конкретный объект. При этом доказательство полноты выбранных косвенных факторов и правильности их весовых коэффициентов – задача мало формализованная и сложная, которая на практике решается экспертными методами (проверка соответствия полученных по методике результатов ожидаемым для тестовых ситуаций).

Рассмотрим качественное определение уровня (величины) риска ИБ. Возьмем пример, в котором угрозы ИБ и уязвимости не рассматриваются совместно в качестве причин реализации сценариев инцидентов ИБ, а учитываются отдельно . Оценки активов получаются по результатам интервьюирования выбранных сотрудников из бизнес-персонала (владельцев активов или бизнес-процессов), которые могут авторитетно привести информацию, позволяющую определить стоимость и ценность актива. Эти интервью способствуют выполнению оценки ценности активов, исходя из наиболее неблагоприятных вариантов, которые могут, при разумных предположениях, реализоваться в результате таких инцидентов ИБ, как несанкционированное раскрытие, несанкционированная модификация, отказ от своих действий, недоступность в течение различных периодов времени и уничтожение. При этом могут учитываться следующие факторы:

- личная безопасность;

- персональная информация;

- правовые и нормативные обязательства;

- правоприменение (соблюдение законов);

- коммерческие и экономические интересы;

- финансовые потери/нарушение деятельности;

- общественный порядок;

- бизнес-политика и бизнес-операции;

- нематериальные потери.

При таком подходе для каждого возможного ущерба и для каждого актива необходимо определить соответствующее значение на шкале оценок (например, от 0 до 4).

Следующим важным этапом является заполнение опросных листов для всех идентифицированных активов, угроз ИБ и уязвимостей с целью оценки вероятности реализации угрозы ИБ и простоты использования уязвимости угрозой ИБ, в результате чего происходит инцидент ИБ. Каждый ответ на вопрос добавляет некоторый балл. Это позволяет идентифицировать вероятности реализации угрозы ИБ и простоты использования уязвимостей по заранее заданной шкале (например, «высокий», «средний» и «низкий»).

Для получения информации, используемой при заполнении опросных листов, проводится интервьюирование сотрудников технического отдела, отдела кадров и хозяйственного отдела, инспектируется возможное физическое местонахождение и анализируется имеющаяся документация. Оценки ценности актива сопоставляются с уровнями угроз ИБ и уязвимостей с помощью таблицы. Для каждой комбинации идентифицируется соответствующий показатель риска ИБ по шкале от 0 до 8 (табл. 3.9). Полученные итоговые оценки используются для принятия решения о том, какие риски ИБ необходимо обрабатывать в первую очередь и каким следует уделить больше внимания, а также определения вариантов обработки рисков ИБ. Для того чтобы принять решение о необходимости разработки и внедрения защитных мер для выявленных рисков ИБ, важно определить приемлемый уровень риска ИБ, соответствующую бизнес-требованиям и требованиям по ОИБ для рассматриваемой СУИБ.

 

Таблица 3.9. Уровни рисков ИБ для активов

 

Ценность актива	Вероятность реализации угрозы ИБ
	Низкий (Н)			Средний (С)			Высокий (В)
	Простота использования уязвимостей
	Н	С	В	Н	С	В	Н	С	В
0	0	1	2	1	2	3	2	3	4
1	1	2	2	1	3	4	3	4	5
2	2	3	3	2	4	5	4	5	6
3	3	4	4	3	5	6	5	6	7
4	4	5	5	4	6	7	6	7	8

Для каждого актива рассматриваются уязвимости, относящиеся к этому активу, и соответствующие им угрозы ИБ. Если имеется уязвимость без соответствующей угрозы ИБ или угроза без соответствующей уязвимости, то считается, что риск ИБ отсутствует . Соответствующая строка в таблице идентифицируется оценкой актива, а столбец – серьезностью угрозы ИБ и уязвимости. Например, если актив имеет оценку «3», уровень угрозы ИБ – «высокий», а уровень уязвимости – «низкий», то величина риска ИБ равна «5».

В таблице может меняться количество уровней угроз ИБ, столбцов для вероятностей реализации угроз ИБ и простоты использования уязвимостей и количество категорий оценки активов, и, следовательно, эту таблицу можно корректировать в соответствии с потребностями организации. Использование дополнительных столбцов и строк влечет за собой дополнительные уровни рисков ИБ.

Завершив в первый раз оценку рисков ИБ, необходимо сохранить и документировать результаты этого процесса (активы и оценки их значимости, требования ИБ и уровни рисков ИБ, а также идентифицированные защитные меры и средства управления рисками ИБ), например, в специальной БД.

Возможно построение похожей матрицы для вероятности реализации сценариев конкретных инцидентов ИБ с учетом их последствий для бизнеса (табл. 3.10). Вероятность зависит от использования угрозами ИБ уязвимостей. Итоговый уровень риска ИБ выражается по шкале от 0 до 8 в соответствии с критериями принятия рисков ИБ. Шкала уровня рисков может быть упрощена введением рейтингов, например, низкий риск ИБ – 0–2, средний риск – 3–5, высокий риск – 6–8.

 

Таблица 3.10. Уровни рисков ИБ для влияния инцидентов ИБ на бизнес

 

Влияние на бизнес	Вероятность реализации сценариев инцидентов ИБ
	Очень низкая	Низкая	Средняя	Высокая	Очень высокая
Очень низкое	0	1	2	3	4
Низкое	1	2	3	4	5
Среднее	2	3	4	5	6
Высокое	3	4	5	6	7
Очень высокое	4	5	6	7	8

 

Для сопоставления последствий (для оценки актива) и вероятности реализации сценариев инцидентов ИБ (с учетом угроз ИБ и уязвимостей, которые могут вызвать конкретный инцидент ИБ) можно использовать табл. 3.11. Первый шаг состоит в оценивании последствий для каждого актива по предварительно установленной шкале, например, от 1 до 5 (столбец «б»). На втором шаге для каждого инцидента ИБ следует оценить вероятность реализации сценария инцидента ИБ по предварительно установленной шкале, например, от 1 до 5 (столбец «в»). Третий шаг состоит в расчете показателя риска ИБ с помощью умножения значений столбца «б» на значения столбца «в». Наконец, инцидентам ИБ может быть присвоена категория, соответствующая их коэффициенту последствий. Следует отметить, что в данном примере «1» обозначает наименьшее воздействие и наименьшую вероятность реализации сценария инцидента ИБ.

 

Таблица 3.11. Сопоставление воздействия (оценки актива) и вероятности инцидента ИБ

Идентифика тор угрозы ИБ (а)	Оценка последствий (для актива) (б)	Вероятность реализации инцидента ИБ (в)		Уровень риска ИБ (г)	Рейтинг угрозы ИБ (д)
Угроза А	5	2		10	2
Угроза Б	2	4		8	3
Угроза В	3	5		15	1
Угроза Г	1	3		3	5
Угроза Д	4	1		4	4
Угроза Е	2	4		8	3

 

Такая процедура позволяет сравнивать различные инциденты ИБ, имеющие различные последствия и различную вероятность реализации, и ранжировать их в зависимости от приоритета. В некоторых случаях необходимо с используемыми эмпирическими шкалами связать денежные эквиваленты.

В следующем примере акцент делается на последствия (например, сценарии инцидентов ИБ) и определение систем, которым следует отдать приоритет. Для этого определяются две оценки для каждого актива и риска ИБ, которые вместе позволяют присвоить балл каждому активу. Уровень риска ИБ для ИС вычисляется как сумма баллов по всем активам. Сначала каждому активу присваивается некоторая оценка, обозна-чающая потенциальный ущерб, который может возникнуть в случае реализации угрозы ИБ для данного актива. Оценка присваивается активу для каждой угрозы ИБ, которой он подвергается. После этого для каждой угрозы ИБ оценивается значение вероятности реализации сценария инцидента ИБ (табл. 3.12).

 

Таблица 3.12. Таблица определения вероятности реализации сценария инцидента ИБ

Вероятность реализации угрозы ИБ	Низкая (Н)			Средняя (С)			Высокая (В)
Простота использования уязвимости	Н	С	В	Н	С	В	Н	С	В
Вероятность реализации сценария инцидента ИБ	0	1	2	1	2	3	2	3	4

 

Затем с помощью поиска пересечения ценности актива и значения вероятности реализации сценария инцидента ИБ определяется итоговый балл для актива (табл. 3.13).

 

Таблица 3.13. Таблица определения балла для актива

Вероятность реализации сценария инцидента ИБ	Ценность актива
	0	1	2	3	4
0	0	1	2	3	4
1	1	2	3	4	5
2	2	3	4	5	6
3	3	4	5	6	7
4	4	5	6	7	8

 

На заключительном шаге суммируются итоговые баллы для всех активов данной системы, в результате чего получается оценка уровня риска ИБ для ИС. Такую процедуру можно использовать, чтобы произвести дифференциацию систем и определить ту, защита которой должна получить приоритетное значение.

Приведем пример. Предположим, что система S состоит из трех активов Al, A2 и A3. Допустим, что существуют две угрозы ИБ Т1 и Т 2, применимые к системе S. Пусть ценность Al равна «3», A2 – «2», A3 – «4». Если для А1 вероятность реализации угрозы Т1 «низкая» и простота использования уязвимости «средняя», то значение вероятности равно «1». Балл для актива/угрозы ИБ А1/Т1 может быть получен из приведенной выше таблицы как пересечение ценности актива, равной «3», и вероятности, равной «1», то есть этот балл будет равен «4». Аналогично, если для А1/Т2 вероятность угрозы ИБ «средняя», а простота использования уязвимости «высокая», то балл равен «6». После этого можно рассчитать итоговый балл для актива А1Т по всем угрозам ИБ (он равен «10»). Итоговой балл для системы ST определяется как сумма А1Т + A2Т + A3Т. Таким образом можно выполнить сравнение систем и определить их приоритетность.

Аналогично можно посчитать приоритеты для бизнес-процессов. Как правило, риски ИБ с текущим значением приоритета меньше «1» просто игнорируются. Риски со значением приоритета в диапазоне 1–2 оставляются в списке, но реальных действий по их устранению обычно не предпринимается. Основное же внимание уделяется рискам ИБ с приоритетом больше «2».

Если для определения вероятности и последствий рисков ИБ использовались качественные оценки, то и приоритетность рисков оценивается на качественном уровне. Например, можно игнорировать те риски ИБ, у которых вероятность или последствия пренебрежимо малы. А высокоприоритетными следует считать риски ИБ, у которых вероятность выше средней и последствия выше существенных.

Для рисков ИБ с высоким приоритетом в ходе анализа полезно определить некоторые характеристики, которые позволят судить о приближении момента проявления риска ИБ или о существенном изменении вероятности его реализации.

Еще один способ определения уровня риска ИБ состоит в разграничении приемлемых и неприемлемых рисков ИБ. Суть этого метода заключается в том, что уровни риска ИБ используются только для определения тех рисков, для которых требуется наиболее срочное принятие защитных мер. При подобном подходе используемая таблица не будет содержать цифр, а будет состоять только из значений «П» и «Н», показывающих, является риск ИБ приемлемым или неприемлемым (табл. 3.14).

Таблица 3.14. Таблица определения рисков ИБ для актива

Вероятность реализации сценария инцидента ИБ	Оценка актива
	0	1	2	3	4
0	П	П	П	П	Н
1	П	П	П	Н	Н
2	П	П	Н	Н	Н
3	П	Н	Н	Н	Н
4	Н	Н	Н	Н	Н

 

Данная таблица является лишь примером, и организация сама может провести разграничивающую линию между приемлемыми и неприемлемыми рисками ИБ.

 

3.3.7. ОБЩИЙ ПОДХОД К ОЦЕНКЕ РИСКОВ ИБ РС БР ИББС-2.2–2009

 

Рассмотрим подход, представленный в РС БР ИББС-2.2–2009, обобщая его основные идеи не только на информационные, но и на все остальные виды требующих ОИБ активов организации.

Активы рассматриваются в совокупности с соответствующими им материальными объектами среды использования и (или) эксплуатации актива (объект хранения, передачи , обработки, уничтожения и т. д.). При этом обеспечение свойств ИБ для активов выражается в создании необходимой защиты соответствующих им объектов среды.

Угрозы ИБ реализуются их источниками, которые могут воздействовать на объекты среды активов. В случае успешной реализации угрозы ИБ активы теряют часть или все свойства ИБ.

Риски ИБ заключаются в возможности утраты свойств ИБ активов в результате реализации угроз ИБ, вследствие чего организации может быть нанесен ущерб. Оценка рисков ИБ проводится для типов активов, входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:

- Полный перечень типов активов, входящих в область оценки. Он формируется на основе результатов классификации активов. Так, например, полный перечень возможных типов информационных активов организации содержит информацию ограниченного доступа; информацию, содержащую сведения, составляющие банковскую и коммерческую тайны; персональные данные; управляющую информацию информационных и телекоммуникационных систем (для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации); открытую (общедоступную) информацию.

- Полный перечень типов объектов среды, соответствующих каждому из типов активов области оценки. Он формуется в соответствии с иерархией уровней информационной инфраструктуры организации. Перечни могут содержать, например, следующие типы объектов

среды: линии связи и сети передачи данных; сетевые программные и аппаратные средства, в том числе сетевые серверы; файлы данных, базы данных, хранилища данных; носители информации, включая бумажные; прикладные и общесистемные программные средства; программно-технические компоненты автоматизированных систем; помещения, здания, сооружения; технологические процессы.

- Модель угроз ИБ для всех выделенных в организации типов объектов среды на всех уровнях иерархии ее информационной инфраструктуры.

Риск ИБ определяется на основании качественных или количественных оценок:

- степени возможности реализации (СВР и СВРкол) угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов активов;

- степени тяжести последствий (СТП и СТПкол) от потери свойств ИБ для рассматриваемых типов активов.

Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой обладающими необходимыми знаниями, образованием и опытом работы сотрудниками службы ИБ организации с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы. Если работники организации не обладают необходимыми знаниями и опытом, возможно привлечение внешних консультантов или экспертов.

При привлечении к оценке СВР угроз ИБ и СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок итоговая, обобщенная оценка обычно принимается равной экспертной оценке, определяющей соответственно наибольшую СВР угрозы ИБ и наибольшую СТП нарушения ИБ.

Данные, на основании которых проводятся все оценки, и их результаты обязательно документируются.

Для проведения качественной оценки рисков ИБ выполняются шесть процедур:

1. Определение и документальная фиксация перечня типов активов, для которых выполняются процедуры оценки рисков ИБ (далее – область оценки рисков ИБ). Область оценки рисков ИБ может быть определенна как перечень типов активов организации в целом, ее отдельного подразделения или отдельного процесса деятельности организации в целом или ее подразделения. Для каждого из типов активов определяется перечень основных и дополнительных свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации.

2. Определение и документальная фиксация перечня типов объектов среды, соответствующих каждому из типов активов области оценки рисков ИБ. При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации.

3. Определение на основе модели угроз ИБ организации и документальная фиксация источников угроз ИБ, воздействие которых может привести к потере свойств ИБ соответствующих типов активов для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информационной инфраструктуры организации. При этом возможно расширение первоначального перечня источников угроз ИБ, зафиксированных в модели угроз организации (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды). При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией.

4. Определение СВР угроз ИБ применительно к выделенным типам объектов среды и анализ возможности потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СВР угроз ИБ в РС БР ИББС-2.2–2009 используется следующая качественная шкала степеней «нереализуемая – минимальная – средняя – высокая – критическая». Основными факторами для оценки СВР угроз ИБ является информация соответствующих моделей угроз ИБ, в частности: данные о расположении источника угрозы ИБ относительно соответствующих типов объектов среды; информация о мотивации источника угрозы ИБ антропогенного характера (связанного с человеком); предположения о квалификации и (или) ресурсах источника угрозы ИБ; статистические данные о частоте реализации угрозы ИБ ее источником в прошлом; информация о способах реализации угроз ИБ; информация о сложности обнаружения реализации угрозы ИБ рассматриваемым источником; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты активов, тем самым снижая вероятность реализации соответствующих угроз ИБ [например, средства защиты от несанкционированного доступа (НСД)].

5. Определение СТП нарушения ИБ для типов активов области оценки рисков ИБ и анализ последствий потери каждого из свойств ИБ для каждого из типов активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз ИБ. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ в РС БР ИББС-2.2– 2009 используется следующая качественная шкала степеней «минимальная – средняя – высокая – критическая». Основными факторами для оценки СТП нарушения ИБ являются: степень влияния на непрерывность бизнеса и репутацию организации; объемы финансовых и материальных потерь, финансовых, материальных и временных затрат, а также людских ресурсов, необходимых для восстановления свойств ИБ для активов рассматриваемого типа и ликвидации последствий нарушения ИБ; степень нарушения законодательных требований и (или) договорных обязательств организации, требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований внутренних нормативных актов организации; объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды; данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих защитных мер, эксплуатация которых сокращает СТП нарушения свойств ИБ активов (например, средства резервного копирования и восстановления информации).

6. Оценка рисков ИБ, результаты которой документально фиксируются. Качественная оценка рисков ИБ проводится для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз ИБ на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз ИБ. Для оценки рисков ИБ в РС БР ИББС-2.2–2009 используется следующая качественная шкала «допустимый – недопустимый». Для сопоставления оценок СВР угроз ИБ и СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков ИБ (табл. 3.15), на пересечении столбцов и строк которой указаны соответствующие значения.

 

Таблица 3.15. Допустимые и недопустимые риски ИБ

СВР угроз ИБ	СТП нарушения ИБ
	Минимальная	Средняя	Высокая	Критическая
Нереализуемая	Допустимый	Допустимый	Допустимый	Допустимый
Минимальная	Допустимый	Допустимый	Допустимый	Недопустимый
Средняя	Допустимый	Допустимый	Недопустимый	Недопустимый
Высокая	Допустимый	Недопустимый	Недопустимый	Недопустимый
Критическая	Недопустимый	Недопустимый	Недопустимый	Недопустимый

Входная и результирующая информация по оценке рисков ИБ для типа актива «информация ДСП» представлена в табл. 3.16.

 

Таблица 3.16. Оценка рисков ИБ для актива «информация ДСП»

Тип актива	Информация ДСП
Тип объекта среды	Файлы данных с информацией ДСП
Источник угрозы ИБ	Внутренний нарушитель	Внешний нарушитель
Свойства ИБ типа актива	Конфиденциальность	Конфиденциальность
Способ реализации угроз ИБ	Несанкционированное копирование	Несанкционированное копирование
Оценка СВР угроз ИБ	Высокая	Минимальная
Оценка СТП нарушения ИБ	Высокая	Высокая
Оценка рисков ИБ	Недопустимый	Допустимая

 

Для формирования резервов на возможные потери, связанные с инцидентами ИБ, риски ИБ могут быть оценены в количественной (денежной) форме. Это определяется на основании количественных оценок СВРкол угроз ИБ, выраженной в процентах, и СТПкол нарушения ИБ, выраженной в денежной форме.

Оценки СВРкол угроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:

- нереализуемая – 0 %;

- минимальная – от 1 до 20 %;

- средняя – от 21 до 50 %;

- высокая – от 51 до 100 %;

- критическая – 100 %.

Оценки СТПкол нарушения ИБ также формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, полученных в рамках выполнения процедуры 5, в количественную форму в соответствии со следующей рекомендуемой шкалой:

- минимальная – до 0,5 % от величины капитала организации;

- средняя – от 0,5 до 1,5 % от величины капитала организации;

- высокая – от 1,5 до 3 % от величины капитала организации;

- критическая – более 3 % от величины капитала организации.

Данные, на основании которых проводится количественная оценка СВРкол угроз ИБ и СТПкол нарушения ИБ, и ее результаты документально фиксируются.

Количественные оценки рисков ИБ вычисляются для всех свойств ИБ выделенных типов активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз ИБ путем перемножения оценок СВРкол угроз ИБ и СТПкол нарушения ИБ.

Суммарная количественная оценка риска ИБ организации вычисляется как сумма количественных оценок по всем отдельным рискам ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска ИБ.