ГОСТ Р ИСО/МЭК 27005—2010
согласованных оценок в масштабе организации. Обычно может использоваться любое число уровней от 3 (напри
мер низкий, средний и высокий) до 10 в соответствии с подходом, используемым организацией для всего процес са
оценки риска.
Организация может установить собственные пределы ценности активов, такие, как «низкий», «средний»
или «высокий». Эти пределы должны оцениваться в соответствии с выбранными критериями, (так. для возмож
ных финансовых потерь пределы должны быть указаны в денежном выражении, но при рассмотрении, напри
мер угрозы личной безопасности, определить их денежную ценность может быть затруднительно и неприемлемо
для всех организаций). Наконец, решение о том. что считать незначительными или серьезными
последствиями, полностью зависит от организации. Последствия, катастрофические для небольшой
организации, могут быть незначительными или даже пренебрежимо малыми для очень крупной организации.
Зависимости
Чем более значимые и многочисленные бизнес-процессы поддерживаются активом, тем больше ценность
этого ахтива. Должна быть также определена зависимость одних активов отдругих, поскольку это может влиять на
ценность активов. Например, конфиденциальность данных должна сохраняться в течение всего их жизненного
цикла, на всех стадиях, включая хранение и обработку, т. в. необходимость обеспечения безопасности хранения
данных и программ обработки данных должна быть напрямую связана с ценностью, отображающей
конфиденци альность хранящихся и обрабатываемых данных. Также, если бизнес-процесс зависит от
целостности опреде ленных данных, создаваемых программой, входные данные этой программы должны
иметь соответствующую степень надежности. Кроме того, целостность информации будет зависеть от аппаратных
и программных средств, используемых для ее хранения иобработки. Аппаратные средства, в свою очередь, будут
зависеть от энергоснаб жения и. возможно, от кондиционирования воздуха. Таким образом, информация о
зависимостях поможет в определении угроз и особенно в выявлении уязвимостей. Кроме того, это поможет
обеспечить правильное при своение значения ценности активам (благодаря зависимым взаимосвязям),
показывая, таким образом, соответ ствующий уровень защиты.
Ценность активов, от которых зависят другие активы, может изменяться следующим образом:
- если ценность зависимых активов (например данных) ниже или равна ценности рассматриваемого актива
(например, программного обеспечения), его ценность остается такой же;
- если ценность зависимых активов (например данных) выше ценности рассматриваемого актива (напри
мер. программного обеспечения), его ценность должна быть увеличена в соответствии со степенью зависимости
или ценностью других активов.
У организации могут быть некоторые активы, являющиеся доступными более одного раза, такие, как копии
компьютерных программ или компьютеры одного и того же вида, использующиеся в большинстве офисов. Этот
факт необходимо учитывать при установлении ценности активов. С одной стороны, эти активы легко упустить из
виду, поэтому следует заботиться о том. чтобы определить каждый из них; с другой стороны, они могут быть
использованы для уменьшения проблем доступности.
Результат
Окончательным результатом этого шага будет перечень активов и их ценности по отношению к раскрытию
(сохранение конфиденциальности), модификации (сохранение целостности, подлинности, неотказуемости и учет-
ности), недоступности и разрушению (сохранение доступности и надежности) и восстановительной стоимости.
В.З Оценка влияния
Инцидент ИБ может оказывать влияние более чем на один актив или только на часть актива. Влияние
связано со степеньюуспешности инцидента. Какследствие, существует важное различие между ценностью актива и
влиянием, являющимся результатом инцидента. Влияние рассматривается как имеющее либо незамедлитель ный
(операционный) эффект, либо будущий (бизнес-) эффект, который включает финансовые и рыночные по
следствия.
Непосредственное (операционное) влияние бывает прямым или косвенным.
Прямое:
- финансовая восстановительная стоимость потерянного актива (части актива);
- стоимость приобретения, конфигурирования и установки нового актива или резервной копии;
- стоимость приостановленных из-за инцидента операций, пока услуга, предоставляемая активом (актива
ми), не будет восстановлена:
- влияние приводит к нарушению ИБ.
Косвенное:
- издержки упущенных возможностей (финансовые ресурсы, необходимые для замены или восстановле
ния актива, могли быть использованы где-либо еще):
- стоимость прерванных операций:
- возможнее злоупотребление информацией, полученной в результате нарушения безопасности;
- нарушение установленных законом или нормативных обязательств;
- нарушение этических норм поведения.
Первая оценка (без мер и средств контроля и управления любого рода) будет оценивать влияние как очень
близкое к ценности связанного с этим актива или комбинации активов. При каждой последующей итерации для
этого (этих) актива (активов) влияние будет отличаться (обычно будет гораздо ниже) вследствие наличия иэффек
тивности реализованных мер и средств контроля и управления.
30