ГОСТ Р ИСО/МЭК ТО 19791 — 2008
8.3 Оценка риска и определение неприемлемых рисков
Перед оценкой автоматизированной системы владелец системы должен оценить границы автома
тизированной системы, определить активы, требующие защиты, и вместе с уполномоченным долж
ностным лицом или должностным лицом из числа высшего менеджмента определить уровень риска, кото
рый организация готова принять, когда некоторый актив может быть потерян, испорчен или скомпроме
тирован.
Затем владелецсистемы должен провести оценку рисков, охватывающую все активы автоматизиро
ванной системы. При этой оценке должны идентифицироваться все возможные риски этой системы, вклю
чая риски, которым противостоят реализованные меры обеспечения безопасности или которые устраняют
ся ими. Эти реализованные меры обеспечения безопасностидолжны документироваться как часть оценки
риска, чтобы их можно было включить вописание целей безопасности в ЗБС.
П р и м е ч а н и е — В настоящем стандарте не предписывается какая-либо определенная модель или
форма оценки риска. Дальнейшую информацию относительно риска для систем информационных и телекомму
никационных технологий можно найти в ИСО/МЭК 13335-1[1].
При наличии рисков, превышающих уровень, который организация готова допустить, владелец сис
темы должен определить предполагаемое направление действий по уменьшению рисковдо приемлемого
уровня. Предполагаемое направление действий по уменьшению рисков может принять форму:
- принятия риска;
- принятие повышенного риска и осознание ответственности за последствия, если риск будет реали
зован;
- переноса рисков; перенос рисков или ответственности за их последствия на другую сторону;
- избежания риска; отказ от деятельности, которая приводит к риску;
-уменьшения или устранения рисков; уменьшение рисковдо приемлемого уровня путем применения
в рамках автоматизированной системы оцененных контрмердля уменьшения вероятности и’или послед
ствий риска.
После этого анализа необходимо категорировать каждый риск как «приемлемый» или «неприемле
мый» по отношению к автоматизированной системе. Приемлемые риски должны бытьдопустимыми, приня
тыми. перенесенными или рисками, которых избежали. Неприемлемыми рисками являются те. которые
должны бытьснижены или устранены.
При неприемлемости рисков владелец системы вместе с разработчиком системы должен идентифи
цировать и специфицировать технические меры и организационные меры безопасности, которыедолжны
быть применены в качестве контрмер. Владелец системы совместно с ее разработчиком должны также
определить и обозначить меры доверия для подтверждения того, что риск неспособности технических и
организационных мер безопасности выполнять их цели безопасности в качестве мер противодействия сни
жен до допустимогодля организации уровня.
Как частьстадии эксплуатации жизненного цикла системы владелец системы должен периодически
повторять оценку рисков, чтобы определить:
- имеются ли изменения в бизнес-активах;
- имеются ли новые риски или изменения в рисках для активов;
-остаются ли надлежащими реализованные контрмеры.
Затем владелецдолжен определить, имеется ли необходимость в переоценке системы для подтвер
ждения адекватности и эффективности мер обеспечения безопасности АС с учетом повторной оценки
рисков.
8.4 Определение проблемы безопасности
Владелец системы должен определить проблему безопасности, стоящую передавтоматизированной
системой, подвергающейся оценке. Описание проблемы безопасности должно включать в себя:
- результаты оценки риска;
- политики безопасности организации, применимые к системе.
8.5 Цели безопасности
Владелец системы должен подготовить формулировки целей безопасности для автоматизированной
системы. Цели безопасности должны содержать четкую формулировку предполагаемого реагирования на
проблемы безопасности, стоящие перед автоматизированной системой.
В целях оценки автоматизированных систем необходимо различатьдва типа целей безопасности.
а) функциональные цели безопасности, которые достигаются техническими и организационными ме
рами безопасности, используемыми в автоматизированной системе;
24