мые априорные защитные меры", "Прочие данные, определяющие СВР угроз ИБ", "Оценка СВР угроз ИБ").
5.7. Процедура 5. Для выполнения оценки СТП нарушения ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:
- степень влияния на непрерывность деятельности организации БС РФ;
- степень влияния на деловую репутацию;
- объем финансовых и материальных потерь;
- объем финансовых и материальных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- объем людских ресурсов, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- объем временных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- степень нарушения законодательных требований и (или) договорных обязательств организации БС РФ;
- степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России;
- объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды;
- данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер.
5.7.2. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ используется следующая качественная шкала степеней:
- минимальная;
- средняя;
- высокая;
- критическая.
При привлечении к оценке отдельных СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок рекомендуется итоговую, обобщенную оценку СТП нарушения ИБ принимать равной экспертной оценке, определяющей наибольшую СТП нарушения ИБ.
5.7.3. Данные, на основании которых проводится оценка СТП нарушения ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СТП нарушения ИБ, приведенную в приложении 5.
5.8. Процедура 6. Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.
Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.
Для выполнения оценки рисков нарушения ИБ необходимо использовать результаты выполнения процедур 4 и 5 настоящей методики.
5.8.1. Для оценки рисков нарушения ИБ используется следующая качественная шкала:
- допустимый;
- недопустимый.
5.8.2. Для сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков нарушения ИБ. Рекомендуемый пример ее заполнения приведен в таблице 1. Оценка рисков нарушения ИБ проводится с учетом данных указанной таблицы.
Таблица 1. Допустимые/недопустимые риски нарушения информационной безопасности
---------------T----------------------------------------------------------¬
¦ СВР угроз ИБ ¦ СТП нарушения ИБ ¦
¦ +--------------T--------------T-------------T--------------+
¦ ¦ минимальная ¦ средняя ¦ высокая ¦ критическая ¦
+--------------+--------------+--------------+-------------+--------------+
¦нереализуемая ¦ допустимый ¦ допустимый ¦
> 1 2 3 ... 5 6 7 ... 21 22 23
Zaki.ru законы и право
поиск по сайту
каталог документов
добавить сайт Zaki.ru в избранное
Правовые акты международные
Правовые акты Российской Федерации
