ГОСТ Р ИСО ТО 13569— 2007
Окончание таблицы С. 1
Уязвимость
Риск финансовых
убытков
Риск уменьшения
продуктивности
Рискдля
репутации
Программные средства среды и операционные системы
Идентифицировать уровень риска, вытекающего из следующей угрозы
Несанкционированное раскрытие, изменениеВ
или разрушение информации
С
н
ВСНВСН
Непреднамеренное изменение или разрушеВ
ние информации
сн
ВСНВСН
Отсутствие подачи или неправильноадресованВ
ная подача информации
сн
ВСНВСН
Отказ от обслуживания или ухудшение обслуВ
живания
сн
ВС
н
ВСН
С.2
Описание табличной формы оценки риска
С.2.1 Зоны уязвимости
Табличная форма оценки риска представляет собой одностраничную форму, предназначенную для исполь
зования в оценке риска бизнес-функций. Табличная форма включает в себя пять зон уязвимости:
1) персонал;
2) помещения и оборудование;
3) приложения:
4) системы связи:
5) программные средства и операционные системы.
С.2.2 Потенциальные угрозы
Под названием каждой зоны уязвимости в таблице С.1 перечислены четыре подлежащие оценке потенци
альные угрозы:
1) несанкционированное раскрытие, изменение или разрушение информации:
2) непреднамеренное изменение или разрушение информации;
3) отсутствие подачи или неправильно адресованная подача информации;
4) отказ от обслуживания или ухудшение обслуживания.
С.2.3 Уровни и категории риска
Справа от каждой угрозы приведены степени риска в трех категориях — финансовые убытки, уменьшение
продуктивности, ущерб для репутации. Политика, программа и процедуры информационной безопасности пред
ставляют собой средства менеджмента риска, которые используются организацией для оценки и уменьшения
бизнес-риска. Риск финансовых убытков в доходах или капитале организации гложет возникать из-за проблем с
услугами, информационными системами или поставкой продукции. Степень этого риска определяется честнос
тью служащих, состоянием внутренних средств защиты, информационных систем и рабочих процессов.
Риск, относящийся к доходам, капиталу и бизнес-репутации, вытекающий из негативного общественного
мнения, может воздействовать на способность финансовых учреждений устанавливать новые взаимосвязи или
услуги или поддерживать существующие. Риск гложет привести организацию к судебному процессу, финансовым
убыткам или дальнейшему ущербу для репутации. Продолжительный риск для доходов или капитала, вытекаю
щий из нарушения законов, правил, положений, предписанных практических приемов, этических норм или из-за
несоответствия им гложет подвергнуть финансовое учреждение штрафам, гражданско-правовым денежным санк
циям. необходимости возмещения ущерба и потере контрактов.
В данном стандарте используются следующие степени риска:
- высокая (В) — значительные финансовые убытки, уменьшение продуктивности или ущерб для репутации,
вьлекающие из угрозы, появляющейся вследствие соответственной уязвимости;
- средняя (С) — незначительные финансовые убытки, уменьшение продуктивности или ущерб для репута
ции;
- низкая <Н) — минимальная возможность финансовых убытков, уменьшение продуктивности или ущерб
для репутации или полное отсутствие этих потерь.
С.2.4 Инструкции по оценке риска
Табличная форма заполняется путем определения степени риска — высокого (В), среднего (С) или
низкого (Н) — по воздействию каждой категории угроз на каждую из пяти категорий уязвимостей, имеющих отно
шение к бизнес-функции. Для оценки рисков организации необходимо:
- проанализировать значение каждой из потенциальных угроз
в
табличной форме для оцениваемой дело
вой функции:
47