ГОСТ Р ИСО/МЭК 13335-1 — 2006
- сценарий 1 — защитная мера S может быть эффективна для снижения рисков R. связанных с
угрозой
Т,
способной использовать уязвимость актива
V.
Угроза может достичь цели, только если активы
уязвимы для данной угрозы;
- сценарий 2 — защитная мера может быть эффективной для снижения риска, связанного с угрозой,
использующей группу уязвимостей актива;
- сценарий 3 — группа защитных мер может быть эффективна в снижении рисков, связанных с груп
пой угроз, использующих уязвимость актива. Иногда требуется несколько защитных мер для снижения
риска до приемлемого уровня для получения допустимого остаточного риска RR:
- сценарий 4 — риск считают приемлемым и никакие меры не реализуютсядаже в присутствии угроз
и при наличии уязвимостей актива;
- сценарий 5 — существует уязвимость актива, но не известны угрозы, которые могли бы ее исполь
зовать.
В качестве защитной меры может быть использован мониторинг угроз для того, чтобы убедиться, что
угрозы, способные использовать уязвимость актива, не появились. Ограничения влияют на выбор защит
ных мер.
Ограничения
Я — риск;
RR
— остаточный риск; S — защитная мера;
Т
— угроза;
V
— уязвимость актива
Рисунок 1 — Взаимосвязь компонентов безопасности
Любая ИТТ включает в себя активы (в первую очередь информацию, а также технические средства,
программное обеспечение, связь и т. д.). важные для успешной деятельности организации. Эти активы
представляютдля организации ценность, которая обычно определяется по их влиянию на бизнес-операции
неавторизованного раскрытия информации, ее модификации или отказа от авторства, а также недоступно
стью или разрушением информации или услуг. Для того, чтобы точнее оценить реальное значение воздей
ствия. вначале его определяют вне зависимости от угроз, которые могут его вызвать. Затем отвечают на
вопрос о том. какие угрозы могут возникнуть и вызвать подобное воздействие, какова вероятность их
появления и могут ли активы подвергаться нескольким угрозам. Далее изучают вопросо том. какие уязви
мости активов могут быть использованы угрозами для того, чтобы вызвать воздействие, т. е. могут ли
угрозы использовать уязвимости, чтобы воздействовать на активы. Каждый изэтих компонентов (ценности
активов, угрозы и уязвимости) может создать риск. От оценки риска далее зависят общие требования
безопасности, которые выполняются илидостигаются реализацией защитных мер. Вдальнейшем приме
нение защитных мер снизит риск, защитит от воздействия угроз и уменьшит уязвимость активов.
Взаимосвязь защитных мер и риска, показывающая эффективность некоторых защитных мер в сни жении
риска, представлена на рисунке 2. Часто требуется применение нескольких защитных мер для
3"7