ГОСТ Р ИСО/МЭК 21827—2010
ВР.03.06 Постоянный контроль текущих изменений в диапазоне рисков и изменений их характери
стик.
7.3.1.4 Примечания к области процесса
Риском безопасности является вероятность реализации воздействия нежелательного инцидента.
Будучи связанным с проектными рисками, касающимися расходов и графика, риск безопасности имеет
дело конкретно с защитой активов и возможностей системы от воздействий.
Оценивание риска всегда включает в себя фактор неопределенности, который изменяется в зави
симости от конкретной ситуации. Это означает, что вероятность можно предсказать только в определен
ных пределах. Кроме того, воздействие, оцененное для определенного риска, также имеет некую неоп
ределенность. поскольку нежелательный инцидент может оказаться ожидаемым. Таким образом, боль
шинство факторов имеют неопределенность в отношении точности связанных с ними прогнозов. Во мно
гих случаях эти неопределенности могут быть значительными. Это в огромной мере затрудняет плани
рование и обеспечение безопасности.
Все. что может уменьшить связанную с конкретной ситуацией неопределенность, очень важно. По
этому так важно доверие, которое косвенно снижает риски системы.
Информация о риске, предоставляемая этой областью процессов, зависит от информации об угро
зе от РА04, информации об уязвимости от РА05 и информации о воздействии от РА02. Несмотря на то.
что действия по сбору информации об угрозах, уязвимостях и воздействиях были сгруппированы в раз
личных частях процесса, они взаимосвязаны. Цель заключается в нахождении комбинаций угрозы, уяз
вимости и воздействия, которые считаются достаточно рискованными для обоснования принятия мер.
Информация о риске формирует основу определения потребности в безопасности в РАЮ и входных
данных по безопасности, предоставляемых РА09.
Поскольку условия риска подвержены изменениям, они должны периодически контролироваться с
тем , чтобы убедиться в поддержании постоянной осведомленности о риске, создаваемом этой обла
стью процессов.
7.3.2 ВР.03.01 - Выбирает метод анализа риска
Выбор методов, технологий и критериев, по которым идентифицируют, анализируют, оценивают и
сравнивают риски безопасности для системы в определенной среде и назначают их приоритеты.
7.3.2.1 Описание
Данная практика определяет метод идентификации рисков безопасности для системы в опреде
ленной среде способом, который позволяет анализировать, оценивать и сравнивать их. Эта практика
должна включать в себя схему категорирования и назначения приоритетов рискам на основе сущест
вующих угроз, эксплуатационных функций, установленных уязвимостей системы, потенциальных потерь,
требований безопасности или заданных областей процесса.
7.3.2.2 Примеры результатов деятельности:
- метод идентификации риска описывает подход к идентификации риска:
- метод оценки риска описывает подход к анализу и оцениванию рисков:
- форматы оценки риска - описывает формат документирования и отслеживания рисков, включаю
щего их описание, значимость и зависимости.
7.3.2.3 Примечания
Можно использовать уже существующий метод, адаптированный метод или метод, специфический
для функциональных аспектов и определенной среды системы. Методология, применяемая для оценки
риска, должна согласовываться с методологиями, выбранными для оценки угроз, уязвимостей и воздей
ствий.
7.3.3 ВР.03.02 - Идентифицирует подвергания
Идентификация трех факторов подвергания: угрозам/уязвимостям/воздействиям.
7.3.3.1 Описание
Целью выявления незащищенности является распознавание того, какая из угроз и уязвимостей вы
зывает опасение, и определение воздействия появления угрозы и уязвимости. Эту незащищенность
следует учитывать при выборе мер безопасности для защиты системы.
7.3.3.2 Примеры результатов деятельности:
- перечни видов незащищенности системы - описывает незащищенность системы.
7.3.3.3 Примечания
Эта базовая практика зависит от выходных данных об угрозах, уязвимостях и областей процесса,
связанного с рисками.
28