ГОСТ Р ИСО/МЭК 21827—2010
Начав с активов и возможностей, идентифицированных в ВР.02.01 и ВР.02.02. определяет нанося
щие ущерб последствия. Для каждого актива они могут включать в себя несанкционированное раскры
тие. модификацию, потерю н/или уничтожение. Воздействия на возможности могут включать в себя пре
рывание. задержку или понижение устойчивости к внешним факторам.
После создания относительно полного перечня воздействий их можно характеризовать с помощью
измерений, определенных в ВР.02.03 и ВР.02.04. Для этого шага может потребоваться изучение актуар
ных таблиц, сборников и других источников. Для каждого актива следует учитывать связанную с ним не
определенность измерений.
7.2.6.2 Примеры результатов деятельности:
- перечни лодверганий воздействиям - перечень потенциальных воздействий и соответствующих
им измерений.
7.2.6.3 Примечания
Оценку воздействий проводят на основе их измерений, определенных в ВР.02.03. а воздействия
объединены на основе правил, установленных в ВР.02.04. В большинстве случаев существует некая не
определенность. связанная с измерениями, и вероятность появления специфического воздействия на
них в определенной среде. В целом, полезнее держать факторы неопределенности отдельно, чтобы в
случае принятия мер по уточнению рабочих данных можно было увидеть, уточняются ли сами данные
или связанная с ними неопределенность.
7.2.7 ВР.02.06 - Осуществляет мониторинг воздействий
Осуществление мониторинга текущих изменений в воздействиях.
7.2.7.1 Описание
Воздействия на любую позицию или ситуацию имеют динамичный характер. Новые воздействия
могут стать действующими, а характеристики существующих воздействий могут измениться. Следова
тельно. важно постоянно контролировать как новые, так и уже существующие воздействия и регулярно
корректировать возможность появления новых воздействий. Эта базовая практика тесно связана с
обобщенной деятельностью по мониторингу в ВР.08.02.
7.27.2 Примеры результатов деятельности:
-отчетыпомониторингувоздействий- описываютрезультатымониторинга воздействий:
- отчеты об изменениях в воздействиях - описывают изменения в воздействиях.
7.2.7.3 Примечания
Из-за возможности изменения в воздействиях деятельность по оценке воздействий должна быть
повторяющейся и проводиться несколько раз для различных условий. Однако повторение оценки воз
действий не должно подменять мониторинг воздействий.
7.3РАОЗ - Оценивает риск безопасности
7.3.1 Область процесса
7.3.1.1 Краткое описание
Назначением области процесса по оценке риска безопасности является идентификация, анализ и
оценивание рисков безопасности системы в определенных условиях (среде). Данная область процесса
сосредоточена на выявлении этих рисков, основанном на общепринятом знании того, каким образом
возможности и активы уязвимы для угроз. Конкретно эта деятельность включает в себя определение и
оценку вероятности появления лодверганий. Данный комплекс действий выполняется в любое время в
ходе жизненного цикла системы для поддержки решений, связанных с разработкой, обслуживанием и
эксплуатацией системы в известной среде.
7.3.1.2 Цели:
- достижение понимания риска безопасности, связанного с эксплуатацией системы в определенной
среде;
- назначение приоритетов рискам в соответствии с установленной методологией.
7.3.1.3 Перечень базовых практик
ВР.03.01 Выбор методов, технологии и критериев, по которым идентифицируются, анализируются,
оцениваются и сравниваются риски безопасности для системы в определенной среде.
ВР.03.02 Идентификация угроз/уязвимостейУподвергания воздействиям.
ВР.03.03 Оценка рисков, связанных с возникновением факта незащищенности
ВР.03.04 Оценка общей неопределенности, связанной с риском незащищенности.
ВР.03.05 Упорядочивание рисков по приоритетам.
27