ГОСТ Р ИСО ТО 13569— 2007
- возможность или вероятность возникновения угрозы. Угрозы с большей вероятностью возникновения
должны оказывать более существенное влияние на определение степени риска, угрозы с наименьшей вероятно
стью возникновения — менее существенное влияние.
- угрозам, имеющим прямое отношение к оцениваемой бизнес-функции, при определении степени риска
необходимо придавать большее значение.
Следует проявлять осторожность при оценке степени риска и в случав сомнения выбирать более высокую
степень риска.
В качестве примера оценки общего риска угрозе отсутствия или неправильно адресованной подачи инфор
мации может служить большая значимость при выборе степени общего риска, так-как отсутствие поставки может
считаться более значимой угрозой для анализируемой бизнес-функции, чем несанкционированное раскрытие
информации о поставке.
С.4.3 Выбор средств управления
Выбор защитных мер безопасности обеспечивает учреждению непосредственное управление принимае
мым риском. Учреждение должно оценить, насколько запланированные и существующие защитные меры снижа
ют риск, идентифицированный при анализе риска, определить дополнительные имеющиеся защитные меры или
меры, которые могут быть скомпрометированы, разработать архитектуру безопасности ИТ и определить ограни
чения различных типов (см. 8.3—8.7). Затем необходимо выбрать соответствующие обоснованные защитные
меры для снижения оцененных рисков до приемлемого уровня. Дополнительные подробности о выборе защит
ных мер см. [2]. [5]. [20J. [21].
С.4.4 Ранжирование воздействия и вероятности
Для определения степени вероятности воздействия используют шкалу ранжирования от 1 до 9. Оценка
масштаба вероятности и определенного воздействия по каждой из шести основных категорий структуры рисков
организации устанавливается исходя из практической деятельности организаций. Данная градация дает ощуще
ние «дискретности», однако значения должны рассматриваться как рекомендации по определению величины
риска, а не в качестве руководства к применению.
Для определения вероятности принята следующая шкала ранжирования.
- пренебрежимо малая — один раз в 1000 лет или реже:
- крайне маловероятная — один раз в 200 лет;
- очень маловероятная — один раз в 50 пет;
- маловероятная — один раз в 20 лет:
- возможная — один раз в 5 лет:
- вероятная — ежегодно:
- очень вероятная — ежеквартально:
- ожидаемая — ежемесячно.
- ожидаемая с уверенностью — еженедельно.
Предполагается, что вероятность наступления рискового события выбранного ранга в четыре раза превы
шает предыдущую вероятность.
В таблице С.З приведены общие параметры оценки риска и характеристики каждого из шести основных
категорий риска. Для некоторых оценок риска могут потребоваться другие характеристики, но используемые
степени вероятности наступления рискового события должны соответствовать шкале ранжирования.
Следует отметить, что оценка приводится для чистого, а не для общего риска. Другими словами, необходи
мо уделять внимание рисков при наличии имеющихся мер управления. Обычно наличие предупреждающих мер
управления снижает вероятность возникновения события, но не влияет на степень его воздействия; меры управ
ления. специально направленные на уменьшение воздействия, обычно не влияю! на степень вероятности воз
никновения события.
Т а б л и ц а С.З— Оценка риска
PairОписаниеРепутация
Операционный
риск
Безопасность
Правовой
риск
Финансовым
риск
Стратегичес
кий риск
НИЗКИЙ
1Пренеб
режимо ма
лое
Локаль<$ 100
ный пароль
к не секрет
ным данным
раскрыт, но
не использо
ван
49