РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ
РС БР ИББС-2.2-2009
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИКА
ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Дата введения: 2010-01-01
Предисловие
1. ПРИНЯТЫ И ВВЕДЕНЫ в действие распоряжением Банка России от 11 ноября 2009 года N Р-1190.
Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
Введение
Действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью создания и поддержания на должном уровне системы обеспечения информационной безопасности (СОИБ) организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения оценки рисков нарушения информационной безопасности (ИБ).
Настоящая методика устанавливает рекомендуемые способы и порядок проведения оценки рисков нарушения ИБ организации БС РФ, являющейся составной частью системы менеджмента ИБ (СМИБ) организации БС РФ.
Положения настоящей методики могут быть использованы для целей внутреннего контроля организаций БС РФ.
Периодичность проведения оценки рисков нарушения ИБ, в том числе с использованием положений настоящей методики, определяется организацией БС РФ самостоятельно.
1. Область применения
Настоящая методика распространяется на организации БС РФ, проводящие оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0.
Настоящая методика рекомендована для применения путем использования устанавливаемых в ней положений при проведении оценки рисков нарушения ИБ и использовании результатов оценки рисков нарушения ИБ, а также путем включения ссылок на нее и (или) прямого использования содержащихся в ней положений во внутренних документах организации БС РФ.
В конкретной организации БС РФ для проведения оценки рисков нарушения ИБ могут использоваться иные методики. Результаты использования настоящей методики и иных методик оценки рисков нарушения ИБ имеют равное значение при построении СОИБ организации БС РФ.
2. Нормативные ссылки
В настоящей методике использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.
3. Термины и определения
В настоящей методике применены термины по СТО БР ИББС-1.0, в том числе следующие термины (в алфавитном порядке) с соответствующими определениями:
3.1. Априорные защитные меры: защитные меры, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты информационных активов, тем самым снижая вероятность реализации соответствующих угроз ИБ (например, средства защиты от несанкционированного доступа).
3.2. Апостериорные защитные меры: защитные меры, эксплуатация которых сокращает степень тяжести последствий нарушения свойств ИБ информационных активов (например, средства резервного копирования и восстановления информации).
3.3. Допустимый риск нарушения информационной безопасности: риск нарушения ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной ситуации готова принять.
3.4. Информационный актив: информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
3.5. Источник угрозы информационной безопасности; источник угрозы ИБ: объект или субъект, реализующий угрозы ИБ путем воздействия на объекты среды информационных активов организации БС РФ.
3.6. Модель угроз информационной безопасности; модель угроз ИБ: описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.
3.7. Обработка риска нарушения информационной безопасности: процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.
3.8. Объект среды информационного актива: материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).
3.9. Остаточный риск нарушения информационной безопасности: риск, остающийся после обработки риска нарушения ИБ.
3.10. Оценка риска нарушения информационной безопасности: систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации БС РФ на всех стадиях их жизненного цикла.
3.11. Риск: мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.
3.12. Риск нарушения информационной безопасности; риск нарушения ИБ <*>: риск, связанный с угрозой ИБ.
<*> Риски нарушения ИБ заключаются в возможности утраты свойств ИБ информационных активов в результате реализации угроз ИБ, вследствие чего организации БС РФ может быть нанесен ущерб.
3.13. Угроза информационной безопасности; угроза ИБ: угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации БС РФ.
3.14. Ущерб: утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации БС РФ, наступивший в результате реализации угроз ИБ через уязвимости ИБ.
4. Общий подход к оценке рисков нарушения ИБ
4.1. Информационные активы организации БС РФ рассматриваются в совокупности с соответствующими им объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды.
4.2. Угрозы ИБ реализуются их источниками (источниками угроз ИБ), которые могут воздействовать на объекты среды информационных активов организации БС РФ. В случае успешной реализации угрозы ИБ информационные активы теряют часть или все свойства ИБ.
4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:
- полный перечень типов информационных активов, входящих в область оценки;
- полный перечень типов объектов среды, соответствующих каждому из типов информационных активов области оценки;
- модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в организации БС РФ типов объектов среды на всех уровнях иерархии информационной инфраструктуры организации БС РФ.
Формирование перечня источников угроз и моделей угроз рекомендуется проводить с учетом положений СТО БР ИББС-1.0, а также перечня основных источников угроз ИБ, приведенных в приложении 1.
4.4. Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов. Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ, в том числе нормативных актов Банка России.
В качестве примера используется следующий перечень типов информационных активов в организации БС РФ:
- информация ограниченного доступа:
- информация, содержащая сведения, составляющие банковскую тайну:
- платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций);
- информация, содержащая сведения, составляющие коммерческую тайну;
- персональные данные;
- управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);
- открытая (общедоступная) информация.
В конкретной организации БС РФ указанный перечень может быть изменен в соответствии с принятыми в ней подходами к классификации информационных активов и уровнем детализации типов информационных активов при проведении оценки рисков нарушения ИБ.
4.5. Формирование перечней типов объектов среды выполняется в соответствии с иерархией уровней информационной инфраструктуры организации БС РФ, определенной в СТО БР ИББС-1.0. В частности, указанные перечни могут содержать следующие типы объектов среды:
- линии связи и сети передачи данных;
- сетевые программные и аппаратные средства, в том числе сетевые серверы;
- файлы данных, базы данных, хранилища данных;
- носители информации, в том числе бумажные носители;
- прикладные и общесистемные программные средства;
- программно-технические компоненты автоматизированных систем;
- помещения, здания, сооружения;
- платежные и информационные технологические процессы.
4.6. Риск нарушения ИБ определяется на основании качественных оценок:
- степени возможности реализации угроз ИБ (далее - СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов;
- степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов (далее - СТП нарушения ИБ).
4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы.
4.8. К экспертной оценке СВР угроз ИБ и СТП нарушения ИБ привлекаются сотрудники организации БС РФ, обладающие необходимыми знаниями, образованием и опытом работы.
4.8.1. Рекомендуется, чтобы эксперты, привлекаемые для оценки СВР угроз ИБ и СТП нарушения ИБ из числа сотрудников службы ИБ или подразделения информатизации организации БС РФ, имели:
знания законодательства РФ в области обеспечения информационной безопасности;
знания международных и национальных стандартов в области обеспечения информационной безопасности;
знания нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;
знания внутренних документов организации БС РФ, регламентирующих деятельность в области обеспечения информационной безопасности;
знания о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;
знания о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;
знания о способах обеспечения информационной безопасности в платежных, информационных и телекоммуникационных системах организации БС РФ;
понимание различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.
4.8.2. Рекомендуется, чтобы эксперты, привлекаемые для оценки СТП нарушения ИБ из числа сотрудников профильных подразделений, имели:
знания законодательства РФ в области своей профессиональной деятельности;
знания нормативных актов и предписаний регулирующих и надзорных органов в области своей профессиональной деятельности;
знания внутренних документов организации БС РФ, регламентирующих их профессиональную деятельность;
знания бизнес-процессов организации БС РФ, а также организации платежных и информационных технологических процессов в области своей профессиональной деятельности;
понимание степени влияния возможных инцидентов ИБ на функционирование бизнес-процессов организации БС РФ в области своей профессиональной деятельности;
знания о платежных, информационных и телекоммуникационных системах организации БС РФ в области своей профессиональной деятельности.
4.8.3. Рекомендуется, чтобы каждый эксперт, привлекаемый для оценки рисков нарушения ИБ, соответствовал следующим характеристикам:
имел высшее образование;
четырехлетний опыт постоянной работы в своей профессиональной области;
поддерживал и совершенствовал собственные знания;
имел способность идентифицировать в организации БС РФ людей, которые могут предоставить необходимую информацию;
обладал навыками делового и управленческого взаимодействия.
4.8.4. Если работники организации БС РФ не обладают необходимыми знаниями и опытом для оценки СВР угроз ИБ, рекомендуется привлекать консультантов или экспертов, которые не являются работниками организации БС РФ.
5. Процедуры оценки рисков нарушения ИБ
5.1. Исходными данными для оценки рисков нарушения ИБ является информация, определенная в п. 4.4 настоящей методики.
5.2. Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее - область оценки рисков нарушения ИБ).
Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ.
Процедура 3. Определение источников угроз для каждого из типов объектов среды, определенных в рамках выполнения процедуры 2.
Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2.3.
Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ.
Процедура 6. Оценка рисков нарушения ИБ.
5.3. Процедура 1. Область оценки рисков нарушения ИБ может быть определена как:
- перечень типов информационных активов организации БС РФ в целом;
- перечень типов информационных активов подразделения организации БС РФ;
- перечень типов информационных активов, соответствующих отдельным процессам деятельности организации БС РФ в целом или подразделения организации БС РФ.
5.3.1. Для каждого из типов информационных активов определяется перечень свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.
Основными свойствами ИБ в рамках настоящей методики являются:
- конфиденциальность;
- целостность;
- доступность.
При необходимости для конкретных типов информационных активов в организации БС РФ могут определяться другие (дополнительные) свойства ИБ.
5.3.2. Перечень типов информационных активов области оценки рисков нарушения ИБ и их свойства ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 2.
5.4. Процедура 2. Для каждого из выделенных в рамках выполнения процедуры 1 типов информационных активов составляется перечень типов объектов среды. При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации БС РФ.
Перечень типов объектов среды документально фиксируется, для чего рекомендуется использовать примерную форму, приведенную в приложении 3.
5.5. Процедура 3. Для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды составляется перечень источников угроз, воздействие которых может привести к потере свойств ИБ соответствующих типов информационных активов. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информационной инфраструктуры организации БС РФ.
Перечень источников угроз формируется на основе модели угроз организации БС РФ. При этом возможно расширение первоначального перечня источников угроз, зафиксированных в модели угроз организации БС РФ (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды).
При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов информационных активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией БС РФ.
5.5.1. Результаты выполнения процедуры 3 документально фиксируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СВР угроз ИБ, приведенную в приложении 4 (заполнению подлежат поля: "Тип информационного актива", "Тип объекта среды", "Источник угроз ИБ", "Свойства ИБ типа информационного актива", "Способ реализации угроз ИБ").
5.6. Процедура 4. Для выполнения оценки СВР угроз ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ возможности потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.6.1. Основными факторами для оценки СВР угроз ИБ являются:
- информация соответствующих моделей угроз, в частности:
- данные о расположении источника угрозы относительно соответствующих типов объектов среды;
- информация о мотивации источника угрозы (для источников угроз антропогенного характера);
- предположения о квалификации и (или) ресурсах источника угрозы;
- статистические данные о частоте реализации угрозы ее источником в прошлом;
- информация о способах реализации угроз ИБ;
- информация о сложности обнаружения реализации угрозы рассматриваемым источником;
- данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих априорных защитных мер.
5.6.2. Для оценки СВР угроз ИБ используется следующая качественная шкала степеней:
- нереализуемая;
- минимальная;
- средняя;
- высокая;
- критическая.
При привлечении к оценке отдельных СВР угроз ИБ нескольких экспертов и получении разных экспертных оценок рекомендуется итоговую, обобщенную оценку СВР угроз ИБ принимать равной экспертной оценке, определяющей наибольшую СВР угрозы ИБ.
5.6.3. Данные, на основании которых проводится оценка СВР угроз ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СВР угроз ИБ, приведенную в приложении 4 (заполнению подлежат поля: "Используемые априорные защитные меры", "Прочие данные, определяющие СВР угроз ИБ", "Оценка СВР угроз ИБ").
5.7. Процедура 5. Для выполнения оценки СТП нарушения ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:
- степень влияния на непрерывность деятельности организации БС РФ;
- степень влияния на деловую репутацию;
- объем финансовых и материальных потерь;
- объем финансовых и материальных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- объем людских ресурсов, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- объем временных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- степень нарушения законодательных требований и (или) договорных обязательств организации БС РФ;
- степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России;
- объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды;
- данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер.
5.7.2. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ используется следующая качественная шкала степеней:
- минимальная;
- средняя;
- высокая;
- критическая.
При привлечении к оценке отдельных СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок рекомендуется итоговую, обобщенную оценку СТП нарушения ИБ принимать равной экспертной оценке, определяющей наибольшую СТП нарушения ИБ.
5.7.3. Данные, на основании которых проводится оценка СТП нарушения ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СТП нарушения ИБ, приведенную в приложении 5.
5.8. Процедура 6. Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.
Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.
Для выполнения оценки рисков нарушения ИБ необходимо использовать результаты выполнения процедур 4 и 5 настоящей методики.
5.8.1. Для оценки рисков нарушения ИБ используется следующая качественная шкала:
- допустимый;
- недопустимый.
5.8.2. Для сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков нарушения ИБ. Рекомендуемый пример ее заполнения приведен в таблице 1. Оценка рисков нарушения ИБ проводится с учетом данных указанной таблицы.
Таблица 1. Допустимые/недопустимые риски нарушения информационной безопасности
5.8.3. Результаты оценки рисков нарушения ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 6.
6. Оценка рисков нарушения ИБ в количественной (денежной) форме
6.1. Риски нарушения ИБ могут быть оценены в количественной (денежной) форме. Оценка рисков нарушения ИБ в количественной форме проводится с целью формирования резервов на возможные потери, связанные с инцидентами ИБ, и определяется на основании количественных оценок:
- СВР угроз ИБ, выраженной в количественной форме (процентах) (далее - СВР_кол угроз ИБ);
- СТП нарушения ИБ, выраженной в количественной (денежной) форме (далее - СТП_кол нарушения ИБ).
6.2. Оценки СВР_кол угроз ИБ формируются экспертно путем перевода качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры 4, в количественную форму в соответствии со следующей рекомендуемой шкалой:
Таблица 2. Рекомендуемая шкала соответствия СВР угроз ИБ и СВР_кол угроз ИБ
6.3. Данные, на основании которых проводится оценка СВР_кол угроз ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СВР_кол угроз ИБ, приведенную в приложении 7.
6.4. Оценки СТП_кол нарушения ИБ формируются экспертно путем перевода качественных оценок СТП нарушения ИБ, полученных в рамках выполнения процедуры 5, в количественную форму в соответствии со следующей рекомендуемой шкалой:
Таблица 3. Рекомендуемая шкала соответствия СТП нарушения ИБ и СТП_кол нарушения ИБ
6.5. Данные, на основании которых проводится оценка СТП_кол нарушения ИБ, и ее результаты документируются, для чего рекомендуется использовать
примерную форму документирования данных и результатов оценки СТП_кол нарушения ИБ, приведенную в приложении 8.
6.6. Количественные оценки рисков нарушения ИБ вычисляются для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз путем перемножения оценок СВР_кол угроз ИБ и СТП_кол нарушения ИБ.
6.7. Результаты количественной оценки рисков нарушения ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 9.
6.8. Суммарная количественная оценка риска нарушения ИБ организации БС РФ вычисляется как сумма количественных оценок по всем отдельным рискам нарушения ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска нарушения ИБ.
РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ КЛАССОВ, ОСНОВНЫХ ИСТОЧНИКОВ УГРОЗ ИБ И ИХ ОПИСАНИЕ
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ ПЕРЕЧНЯ ТИПОВ ИНФОРМАЦИОННЫХ АКТИВОВ ОБЛАСТИ ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИБ И ИХ СВОЙСТВ ИБ
На примере заполнения:
тип информационного актива - "Информация ограниченного доступа" (далее - "ДСП информация").
Свойства ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ для типа информационного актива, обозначаются знаком "+", остальные свойства ИБ - знаком "-".
Приложение 3
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ ПЕРЕЧНЯ ТИПОВ ОБЪЕКТОВ СРЕДЫ
тип информационного актива - "ДСП информация".
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ ДАННЫХ И РЕЗУЛЬТАТОВ ОЦЕНКИ СВР УГРОЗ ИБ
На примере заполнения:
тип информационного актива - "ДСП информация";
свойство ИБ - "Конфиденциальность";
способ реализации угрозы - "Несанкционированное копирование";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".
<*> Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяется организацией БС РФ.
Примечание.
В ячейках "Оценка СВР угроз ИБ" требуется указать значение из следующего перечня: нереализуемая; минимальная; средняя; высокая; критическая.
Приложение 5
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ ДАННЫХ И РЕЗУЛЬТАТОВ ОЦЕНКИ СТП НАРУШЕНИЯ ИБ
На примере заполнения:
тип информационного актива - "ДСП информация";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".
В ячейках "Оценка СТП нарушения ИБ" требуется указать значение из следующего перечня: минимальная; средняя; высокая; критическая.
Приложение 6
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ РЕЗУЛЬТАТОВ ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИБ
На примере заполнения:
тип информационного актива - "ДСП информация";
свойство ИБ - "Конфиденциальность";
способ реализации угрозы - "Несанкционированное копирование";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".
В ячейках "Оценка рисков нарушения ИБ" требуется указать значение из следующего перечня: допустимый; недопустимый.
Приложение 7
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ ДАННЫХ И РЕЗУЛЬТАТОВ ОЦЕНКИ СВР УГРОЗ ИБ КОЛ
На примере заполнения:
тип информационного актива - "ДСП информация";
Свойство ИБ - "Конфиденциальность";
способ реализации угрозы - "Несанкционированное копирование";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ ДАННЫХ И РЕЗУЛЬТАТОВ ОЦЕНКИ СТП НАРУШЕНИЯ ИБ КОЛ
На примере заполнения:
тип информационного актива - "ДСП информация";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".
ПРИМЕРНАЯ ФОРМА ДОКУМЕНТИРОВАНИЯ РЕЗУЛЬТАТОВ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИБ
На примере заполнения:
тип информационного актива - "ДСП информация";
свойство ИБ - "Конфиденциальность";
способ реализации угрозы - "Несанкционированное копирование";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".