ГОСТ Р ИСО/МЭК ТО 13335-3—2007
Приложение Е
(справочное)
Типология методов анализа риска
Анализ риска состоит из следующих этапов, приведенных в настоящем приложении, а также в ИСО/МЭК
ТО 13335-4:
- идентификация и оценка активов (оценка возможного негативного воздействия на деловую деятельность);
- оценка угроз;
- оценка уязвимых мест;
- оценка существующих и планируемых средств защиты;
- оценка риска.
На заключительном этапе анализа риска должна быть проведена суммарная оценка риска. Как было
установлено ранее (см. приложение В), активы, имеющие ценность и характеризующиеся определенной
степенью уязвимости, всякий раз подвергаются риску в присутствии угроз. Оценка риска представляет собой
оценку соотношения потенциальных негативных воздействий на деловую деятельность в случав нежелательных
инцидентов и уровня оцененных угроз и уязвимых мест. Риск фактически является мерой незащищенности систе мы
и связанной с ней организации. Величина риска зависит от:
- ценности активов;
- угроз и связанной с ними вероятности возникновения опасного для активов события;
- легкости реализации угроз в уязвимых местах с оказанием нежелательного воздействия;
- существующих или планируемых средств защиты, снижающих степень уязвимости, угроз и нежелательных
воздействий.
Задача анализа риска состоит в определении и оценке рисков, которым подвергается система информаци
онных технологий и ее активы, с целью определения и выбора целесообразных и обоснованных средств обеспе
чения безопасности. При оценке рисков рассматривают несколько различных его аспектов, включая воздействие
опасного события и его вероятность.
Воздействие может быть оценено несколькими способами, в том числе количественно (в денежных едини
цах) и качественно (оценка может быть основана на использовании для сравнения прилагательных типа умерен
ное или серьезное), или их комбинацией. Для оценки воздействия необходимо рассчитать вероятность появле
ния угрозы, время ее существования, время сохранения ценности актива и целесообразность защиты актива. На
вероятность появления угрозы оказывают влияние следующие факторы:
- привлекательность актива — применяют при рассмотрении угрозы намеренного воздействия людей;
- доступность актива для получения материального вознаграждения — применяют при рассмотрении угро
зы намеренного воздействия людей;
- технические возможности создателя угрозы — применяют при рассмотрении угрозы намеренного воздей
ствия людей;
- вероятность возникновения угрозы;
- возможность использования уязвимых мест — применяют к уязвимым местам как технического, так и
нетехнического характера.
Многие методы предлагают использование таблиц и различных комбинаций субъективных и эмпирических
мер. В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы
организация пользовалась наиболее удобным и внушающим доверие методом, приносящим воспроизводимые
результаты. Ниже приведены несколько примеров методов, основанных на применении таблиц:
Примеры
1 Матрица с заранее определенными значениями
В методах анализа риска т акого типа фактические или предполагаемые физические акт ивы оце
нивают на основе стоимости их замены или восстановления (то есть количественно). Затем эти
количественные оценки преобразуют в шкалу качественных оценок, которая используется примени
тельно к активам данных (см. ниже). Фактические или предполагаемые программные акт ивы оцени
вают т ак же. как и физические акт ивы с определением стоимост и их покупки или восстановления, а
затем эти количественные оценки преобразуют в шкалу качественных оценок, которая используется
применит ельно к активам данных. Кроме того, если выяснится, что к конкретному прикладному про
граммному обеспечению сущ ествуют свои внутренние требования по конф иденциальност и или цело
стности (например, если исходный код сам являет ся коммерческой тайной), то его оценивают тем же
способом, что и активы данных.
Значения ценности активов данных определяют интервьюированием избранных сотрудников, за
нят ы х в сфере деловой деятельности («владельцев данных»), которые могут высказыват ь компе-
41