ГОСТ Р ИСО ТО 13569 —2007
- определить, как и кто будет подвергаться рисху и какова степень риска, вытекающего из каждой потенци
альной угрозы, являющейся следствием конкретной категории уязвимости.
При определении степени риска не существует абсолютных правил. Определение колебаний валютных
средств, изменение трудоемкости работ и наихудших вероятных событий может принести значительную пользу.
При возникновении сомнений во время анализа потенциальных угроз следует учитывать возникновение наихуд
шего события и выбирать для него более высокий уровень риска.
При заполнении табличной формы оценки риска основное предположение должно заключаться в том. что
никаких защитных мер не существует.
В качестве примера первую угрозу в таблице С.2 можно проанализировать следующим образом:
- может ли привести к денежным потерям, уменьшению продуктивности или ущербу для репутации учреж
дения. если лицо, имеющее обычный доступ, раскрыло информацию о вашей аппаратуре и оборудовании (то есть
служащий отдела раскрыл комбинацию сейфа отдела, содержащего ценности или конфиденциальную информа
цию);
- будет ли уровень убытков и/или ущерба для репутации высоким, средним или низким.
Идентифицированные угрозы (т. е. служащий отдела раскрыл комбинацию сейфа отдела, содержащего
ценности или конфиденциальную информацию) должны быть документированы вместе с использованным логи
ческим обоснованием. Некоторым бизнес-функциям может соответствовать ответ «неприменимо» в отношении
какой-либо угрозы, возникшей вследствие некой уязвимости или целой категории уязвимостей. В этом случае
необходимо документировать логическое обоснование, лежащее в основе решения, а документацию — сохра
нить в файле с заполненной табличной формой.
После идентификации угроз возникает необходимость принятия рисков при наличии соответствующих пол
номочий либо смягчения рисков. Риски могут быть смягчены передачей рисха (страхование), принятием мер
противодействия в отношении рисков (снижение) путем применения средств управления безопасностью или
избежания риска посредством устранения источника угроз через изменение бизнес-цели.
С.ЗТаблица оценки риска
Для каждой категории рисха необходимо ввести степень риска, связанную с каждой уязвимостью: высокая
(В), средняя (С) или низкая (Н). При оценке каждой категории риска определяется общий риск для конкретной
уязвимости. После заполнения таблицы С.2 выбирают подходящие средства управления.
Т а б л и ц а С.2 — Оценка риска по категориям уязвимости
УязвимостиКатегория
риска
Финансовые
убытки
Уменьшение
продуктивности
УщербОбщий
рис»
для
репутации
Персонал
Аппаратура и оборудование
Приложения
Системы связи
Программные средства среды и
операционные системы
С.4 Описание таблицы оценки риска
С.4.1 Краткий обзор
Таблица С.З — таблица оценки рисха используется для показа общей степени риска для каждой уязвимо
сти. В верхней части таблицы перечислены три категории риска, а пять зон уязвимости — в левой колонке
таблицы
Таблицу оценки риска заполняют путем установления обшей степени риска для каждой из пяти зон
уязвимостей. Общая степень риска должна быть выведена из четырех угроз, ранее идентифицированных в табли це
С.1.
С.4.2 Инструкция потаблице рисков
В целях объединения риска для конкретной категории следует изучить степени риска для каждой уязвимо
сти в таблице С.З. В каждой категории рисха в отдельности следует определить вид общей степени риска для
четырех угроз. В таблицу оценки рисха записывают степень риска.
Для установления общего риска после проведения оценки каждой категории риска следует проанализиро
вать логическое обоснование, стоящее за степенью рисха, установленной для каждой уязвимости, и оценить
общий риск — высокой (В), средней (С) или низкой степени (Н) — для каждой уязвимости.
Следует учесть, что при определении общих степеней риска для каждой уязвимости не существует общих
правил. Однако следует учитывать следующие факторы
48