Материал: Sb96058
5.Правила анализа рисков
Врамках работпо анализу рисков определяются
Возможный ущерб, |
|
|
|
наносимый |
Уровень вероятности |
|
|
компании |
наступления нарушения |
Величина риска |
|
в результате |
с учетом идентифицированных |
||
|
|||
нарушений свойств |
угроз и уязвимостей, а также |
|
|
безопасности ОЗ |
реализованных защитных мер |
|
Для каждого идентифицированного ОЗ должен быть оценен возможный ущерб, возникающий вследствие реализации
угрозы нарушения его ИБ
Оценка возможного ущерба производится по трехуровневой качественной шкале
Максимальная |
Средняя величина |
Минимальная |
|
величина |
величина |
||
|
Максимальная величина |
Средняя величина |
Минимальная |
|
величина возможного |
|||
возможного ущерба |
возможного ущерба |
||
ущерба |
|||
характеризуется |
характеризуется средним |
||
характеризуется |
|||
максимальным уровнем |
уровнем критичности ОЗ |
||
минимальным уровнем |
|||
критичности ОЗ |
|
||
|
критичности ОЗ |
||
|
|
Пороговые значения возможного ущерба для каждого уровня определяются членами комиссии экспертным путем
Уровни шкалы нумеруются от 1 до 3, при этом первый уровень соответствует максимальной величине возможного ущерба от нарушения безопасности ОЗ
Результаты оценки возможногоущерба нарушения безопасностиОЗзаносятся в реестр рисков информационной безопасности (прил. 4)
11
6. Уровень вероятности реализации актуальных угроз
Реализация угроз ОЗ возможна только при наличии уязвимостей ОЗ. В связи с этим должна проводиться оценка уровня вероятности реализации
угрозы с использованием соответствующей уязвимости ОЗ
Мерой уязвимостиОЗ по отношению кугрозе является степень того, с какой легкостью может быть нарушена безопасность ОЗ
Простота использования уязвимости зависит от уже реализованных защитных мер. Должна быть выполнена идентификация реализованных и планируемых защитных мер и определен статус их реализации
Реализована |
Частично |
Не реализована |
|
реализована |
|||
|
|
Идентификация защитных мер и определение статуса их реализации необходимыпри рассмотрении способовобработки рисков во избежание их дублирования. Результатыидентификации защитных мер рекомендуется оформлять в соответствии с прил. 5
Определение простоты использования уязвимости производится по трехуровневой качественной шкале
Максимальный |
Средний уровень |
Минимальный |
|
уровень |
уровень |
||
|
Уровни шкалы нумеруются от 1 до 3, при этом первый уровень соответствует самой простой в использовании уязвимости. Пороговые значения простоты использования уязвимости для каждого уровня определяются членамикомиссии экспертным путем
Уровень уязвимости следует оценивать по отношению к каждой угрозе, которая может использовать эту уязвимость. Результатыидентификации уязвимостей рекомендуется оформлять в соответствии с прил. 6
12
7. Факторы влияния на уровень вероятности реализации угроз
На уровень вероятности реализации угроз оказывают влияние следующие факторы
Отсутствие или |
Знания, |
|
компетентность, |
||
слабость |
||
техническая |
||
применяемых |
||
оснащенность |
||
защитных мер |
||
нарушителя |
||
|
||
Возможность |
Привлекательность |
|
ошибок персонала, |
||
выхода из строя |
ОЗ |
|
оборудования |
|
Расположение ОЗ (возможность возникновения экстремальных погодных условий, близость
кисточникам опасности ит. п.)
Всвязи с тем, что одна угроза может использовать как одну уязвимость,
так и группу уязвимостей, должен быть определен уровень вероятности реализации угрозы с использованием каждой из возможных уязвимостей
Оценка уровня вероятностиреализацииугрозы производится по трехуровневой качественнойшкале
Максимальная |
Средняя |
Минимальная |
вероятность |
вероятность |
вероятность |
Пороговые значения вероятности для каждого уровня определяются членами комиссии экспертным путем
Уровни шкалы нумеруются от 1 до 3, при этом первый уровень соответствует максимальнойвероятности реализации угрозы
Результаты оценки уровня вероятности реализации угроз ОЗзаносятся в реестр рисковинформационной безопасности (прил. 4)
13
8. Вычисление величины риска
Производится путем комбинирования величины возможного ущерба, выражающей последствия нарушениябезопасности ОЗ, с уровнем вероятности связанных с ним угроз и уровнем уязвимостей
|
Величина риска |
|
|
Величины |
прямо |
|
|
пропорционально |
Уровня вероятности |
||
возможного ущерба |
зависитот |
||
реализации угрозы |
|||
от нарушения |
|
||
|
в отношении ОЗ |
||
безопасности ОЗ |
|
||
|
|
||
|
Уровня уязвимости |
|
Любое изменение ОЗ, угроз, уязвимостей или защитных мер гарантированно должно оказать влияние на уровень риска
Для одного ОЗ могут рассматриваться несколько категорий рисков взависимости от комбинации «угроза– уязвимость»
В соответствии с положениями стандарта BS 7799-3:2006 величину возможного ущерба от нарушения БИ ОЗ, уровень уязвимости и уровень вероятности реализации угроз в отношении ОЗ следует сопоставлять в матрице рисков с целью определения для каждой комбинации соответствующейвеличиныриска
Значения величин размещают вматрице рисков в структурированной форме (прил. 7)
Результатыанализа рисковоформляются в виде реестра рисков информационной безопасности (прил. 4)
14
9. Правила оценки рисков
Очередным шагом оценки рисков является сравнение полученных величин риска со шкалой уровня риска, которая определена вкомпании, – оценивание риска
Должна быть установлена связь между уровнямирисков и влиянием, которое вычисленные риски могут оказать на компанию,
ее партнеров и клиентов
Уровни рисков должныбыть выражены в терминах возможных потерь для компании ивремени восстановления функционирования ОЗ (АС, ИС)
Рекомендуется использовать трехуровневую качественную шкалу
Максимальный |
Средний уровень |
Минимальныйуровень |
|
уровень |
|||
(средний ущерб, среднее |
(незначительный |
||
(значительный ущерб, |
|||
время восстановления |
ущерб, оперативное |
||
длительное время |
|||
функционирования |
время восстановления |
||
восстановления |
|||
АС, ИС) |
функционирования |
||
функционирования |
|||
|
АС, ИС) |
||
АС, ИС) |
|
||
|
|
Для каждого уровнядолжны быть определены пороговые значения – величины ущерба и времени восстановления
Должныбыть идентифицированыуровни риска, которые являются для компании приемлемыми, т. е. те уровни риска, прикоторых оцениваемый ущерб и/иливероятность реализации угрозы незначительны. Рекомендуется в качестве приемлемого уровня риска выбирать минимальный уровень риска
Риски, не превышающие приемлемого уровня, должныбыть приняты. Также должныприниматься риски, превышающие допустимыйуровень, если для данных рисков отсутствует подходящий способ обработки.
Все остальные риски должныобрабатываться
Полученные данные должныбыть занесены в реестр рисков нарушения информационной безопасности(графа «Приемлемость риска» прил. 4). Полученные результаты оценивания рисков должны быть отражены в акте оценки рисков (прил. 1)
15