5. Процедуры оценки рисков нарушения ИБ
5. Процедуры оценки рисков нарушения ИБ 
5.1. Исходными данными для оценки рисков нарушения ИБ является информация, определенная в п. 4.4 настоящей методики.
5.2. Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее - область оценки рисков нарушения ИБ).
Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ.
Процедура 3. Определение источников угроз для каждого из типов объектов среды, определенных в рамках выполнения процедуры 2.
Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2.3.
Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ.
Процедура 6. Оценка рисков нарушения ИБ.
5.3. Процедура 1. Область оценки рисков нарушения ИБ может быть определена как:
- перечень типов информационных активов организации БС РФ в целом;
- перечень типов информационных активов подразделения организации БС РФ;
- перечень типов информационных активов, соответствующих отдельным процессам деятельности организации БС РФ в целом или подразделения организации БС РФ.
5.3.1. Для каждого из типов информационных активов определяется перечень свойств ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.
Основными свойствами ИБ в рамках настоящей методики являются:
- конфиденциальность;
- целостность;
- доступность.
При необходимости для конкретных типов информационных активов в организации БС РФ могут определяться другие (дополнительные) свойства ИБ.
5.3.2. Перечень типов информационных активов области оценки рисков нарушения ИБ и их свойства ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 2.
5.4. Процедура 2. Для каждого из выделенных в рамках выполнения процедуры 1 типов информационных активов составляется перечень типов объектов среды. При составлении данного перечня рассматриваемые типы объектов среды разделяются по уровням информационной инфраструктуры организации БС РФ.
Перечень типов объектов среды документально фиксируется, для чего рекомендуется использовать примерную форму, приведенную в приложении 3.
5.5. Процедура 3. Для каждого из определенных в рамках выполнения процедуры 2 типов объектов среды составляется перечень источников угроз, воздействие которых может привести к потере свойств ИБ соответствующих типов информационных активов. Типы объектов среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках иерархии информационной инфраструктуры организации БС РФ.
Перечень источников угроз формируется на основе модели угроз организации БС РФ. При этом возможно расширение первоначального перечня источников угроз, зафиксированных в модели угроз организации БС РФ (или же его дополнительная структуризация путем составления новых моделей угроз для некоторых из выделенных типов объектов среды или отдельных объектов среды).
При формировании перечня источников угроз рекомендуется рассматривать возможные способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ соответствующих типов информационных активов (способы реализации угроз ИБ). Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяются организацией БС РФ.
5.5.1. Результаты выполнения процедуры 3 документально фиксируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СВР угроз ИБ, приведенную в приложении 4 (заполнению подлежат поля: "Тип информационного актива", "Тип объекта среды", "Источник угроз ИБ", "Свойства ИБ типа информационного актива", "Способ реализации угроз ИБ").
5.6. Процедура 4. Для выполнения оценки СВР угроз ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ возможности потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.6.1. Основными факторами для оценки СВР угроз ИБ являются:
- информация соответствующих моделей угроз, в частности:
- данные о расположении источника угрозы относительно соответствующих типов объектов среды;
- информация о мотивации источника угрозы (для источников угроз антропогенного характера);
- предположения о квалификации и (или) ресурсах источника угрозы;
- статистические данные о частоте реализации угрозы ее источником в прошлом;
- информация о способах реализации угроз ИБ;
- информация о сложности обнаружения реализации угрозы рассматриваемым источником;
- данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих априорных защитных мер.
5.6.2. Для оценки СВР угроз ИБ используется следующая качественная шкала степеней:
- нереализуемая;
- минимальная;
- средняя;
- высокая;
- критическая.
При привлечении к оценке отдельных СВР угроз ИБ нескольких экспертов и получении разных экспертных оценок рекомендуется итоговую, обобщенную оценку СВР угроз ИБ принимать равной экспертной оценке, определяющей наибольшую СВР угрозы ИБ.
5.6.3. Данные, на основании которых проводится оценка СВР угроз ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СВР угроз ИБ, приведенную в приложении 4 (заполнению подлежат поля: "Используемые априорные защитные меры", "Прочие данные, определяющие СВР угроз ИБ", "Оценка СВР угроз ИБ").
5.7. Процедура 5. Для выполнения оценки СТП нарушения ИБ используются результаты выполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери каждого из свойств ИБ для каждого из типов информационных активов в результате воздействия на соответствующие им типы объектов среды выделенных источников угроз.
5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:
- степень влияния на непрерывность деятельности организации БС РФ;
- степень влияния на деловую репутацию;
- объем финансовых и материальных потерь;
- объем финансовых и материальных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- объем людских ресурсов, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- объем временных затрат, необходимых для восстановления свойств ИБ для информационных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;
- степень нарушения законодательных требований и (или) договорных обязательств организации БС РФ;
- степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России;
- объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответствующей рассматриваемому типу объекта среды;
- данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер.
5.7.2. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ используется следующая качественная шкала степеней:
- минимальная;
- средняя;
- высокая;
- критическая.
При привлечении к оценке отдельных СТП нарушения ИБ нескольких экспертов и получении разных экспертных оценок рекомендуется итоговую, обобщенную оценку СТП нарушения ИБ принимать равной экспертной оценке, определяющей наибольшую СТП нарушения ИБ.
5.7.3. Данные, на основании которых проводится оценка СТП нарушения ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СТП нарушения ИБ, приведенную в приложении 5.
5.8. Процедура 6. Оценка рисков нарушения ИБ проводится на основании сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствующих угроз.
Оценка рисков проводится для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них источников угроз.
Для выполнения оценки рисков нарушения ИБ необходимо использовать результаты выполнения процедур 4 и 5 настоящей методики.
5.8.1. Для оценки рисков нарушения ИБ используется следующая качественная шкала:
- допустимый;
- недопустимый.
5.8.2. Для сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ заполняется таблица допустимых/недопустимых рисков нарушения ИБ. Рекомендуемый пример ее заполнения приведен в таблице 1. Оценка рисков нарушения ИБ проводится с учетом данных указанной таблицы.
Таблица 1. Допустимые/недопустимые риски нарушения информационной безопасности
┌──────────────┬──────────────────────────────────────────────────────────┐ │ СВР угроз ИБ │ СТП нарушения ИБ │ │ ├──────────────┬──────────────┬─────────────┬──────────────┤ │ │ минимальная │ средняя │ высокая │ критическая │ ├──────────────┼──────────────┼──────────────┼─────────────┼──────────────┤ │нереализуемая │ допустимый │ допустимый │ допустимый │ допустимый │ ├──────────────┼──────────────┼──────────────┼─────────────┼──────────────┤ │ минимальная │ допустимый │ допустимый │ допустимый │ недопустимый │ ├──────────────┼──────────────┼──────────────┼─────────────┼──────────────┤ │ средняя │ допустимый │ допустимый │недопустимый │ недопустимый │ ├──────────────┼──────────────┼──────────────┼─────────────┼──────────────┤ │ высокая │ допустимый │ недопустимый │недопустимый │ недопустимый │ ├──────────────┼──────────────┼──────────────┼─────────────┼──────────────┤ │ критическая │ недопустимый │ недопустимый │недопустимый │ недопустимый │ └──────────────┴──────────────┴──────────────┴─────────────┴──────────────┘
5.8.3. Результаты оценки рисков нарушения ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 6.
