ГОСТ Р ИСО/МЭК 18028-1— 2008
Не все виды рисков безопасности относят к каждому местоположению или к каждой организации.
Однако должны быть идентифицированы соответствующие виды рисков безопасности, с тем чтобы могли
быть установлены потенциальные сферы контроля (и в конечном счете выбраны, спроектированы, реали
зованы и поддержаны меры безопасности).
Концептуальная модель сетевой безопасности, показывающая, где могут возникать разные виды
рисков безопасности, представлена на рисунке 3.
Рисунок 3 — Концептуальная модель сфер риска сетевой безопасности
Должна быть собрана информация о последствиях для бизнес-операций, связанных с упомянутыми
видами рисков безопасности, при этом необходимо учитывать конфиденциальность или значимость ис
пользуемой информации (выраженная как потенциальное неблагоприятное воздействие на бизнес) и свя
занные с ними потенциальные угрозы и уязвимости. В связи с этим, если существует вероятность более
чем незначительного неблагоприятного воздействия на бизнес-операции организации, следует обратиться
ктаблице 3.
Нужно подчеркнуть, что при выполнении этой задачи следует использовать результаты оценки риска
безопасности и проверки (проверок)0, проведенных высшим руководством в отношении сетевого соедине
ния (соединений). Эти результаты дадут возможность сосредоточиться до той степени подробностей, с
какой была проведена проверка (проверки), на потенциальных неблагоприятных воздействиях на бизнес,
связанных с перечисленными выше видами рисков безопасности, а также на видах угроз, уязвимостей и,
следовательно, представляющих проблему рисков.
При рассмотрении сетевых уязвимостей во время оценки риска безопасности и проводимой руковод
ством проверки может возникнуть необходимость отдельного рассмотрения ряда сетевых аспектов. В при
веденной ниже таблице 4 перечислены виды уязвимостей, которые могут быть использованы для каждого
сетевого аспекта.
11Руководство по подходам к оценке и менеджменту риска безопасности приведено в ИСО/МЭК 17799.
19