6. "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009" (приняты и введены в действие Распоряжением Банка России от 11.11.2009 N Р-1190)

"Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009" (приняты и введены в действие Распоряжением Банка России от 11.11.2009 N Р-1190)

6. Оценка рисков нарушения ИБ в количественной (денежной) форме

6. Оценка рисков нарушения ИБ в количественной
(денежной) форме

6.1. Риски нарушения ИБ могут быть оценены в количественной (денежной) форме. Оценка рисков нарушения ИБ в количественной форме проводится с целью формирования резервов на возможные потери, связанные с инцидентами ИБ, и определяется на основании количественных оценок:

    -  СВР угроз ИБ, выраженной в количественной форме (процентах) (далее -
СВР    угроз ИБ);
   кол
    - СТП нарушения ИБ, выраженной в количественной (денежной) форме (далее
- СТП    нарушения ИБ).
     кол
    6.2.  Оценки  СВР     угроз  ИБ  формируются  экспертно  путем перевода
                     кол
качественных  оценок СВР угроз ИБ, полученных в рамках выполнения процедуры
4, в количественную форму в соответствии со следующей рекомендуемой шкалой:

Таблица 2. Рекомендуемая шкала соответствия СВР угроз ИБ и СВР    угроз ИБ
                                                              кол

┌──────────────────────────────────┬──────────────────────────────────────┐
│      Величина СВР угроз ИБ       │       Величина СВР    угроз ИБ       │
│                                  │                   кол                │
├──────────────────────────────────┼──────────────────────────────────────┤
│          Нереализуемая           │                  0%                  │
├──────────────────────────────────┼──────────────────────────────────────┤
│           Минимальная            │              От 1 до 20%             │
├──────────────────────────────────┼──────────────────────────────────────┤
│             Средняя              │             От 21 до 50%             │
├──────────────────────────────────┼──────────────────────────────────────┤
│             Высокая              │             От 51 до 100%            │
├──────────────────────────────────┼──────────────────────────────────────┤
│           Критическая            │                 100%                 │
└──────────────────────────────────┴──────────────────────────────────────┘

    6.3.  Данные, на основании которых проводится оценка СВР    угроз ИБ, и
                                                            кол
ее   результаты   документируются,   для  чего  рекомендуется  использовать
примерную  форму  документирования данных и результатов оценки СВР    угроз
                                                                  кол
ИБ, приведенную в приложении 7.
    6.4.  Оценки  СТП     нарушения ИБ формируются экспертно путем перевода
                     кол
качественных  оценок  СТП  нарушения  ИБ,  полученных  в  рамках выполнения
процедуры   5,   в   количественную   форму  в  соответствии  со  следующей
рекомендуемой шкалой:

Таблица  3.  Рекомендуемая шкала соответствия СТП  нарушения  ИБ  и  СТП
                                                                        кол
нарушения ИБ

┌─────────────────┬───────────────────────────────────────────────────────┐
│   Величина СТП  │             Величина СТП    нарушения ИБ              │
│   нарушения ИБ  │                         кол                           │
├─────────────────┼───────────────────────────────────────────────────────┤
│   Минимальная   │    До 0,5% от величины капитала организации БС РФ     │
├─────────────────┼───────────────────────────────────────────────────────┤
│     Средняя     │ От 0,5 до 1,5% от величины капитала организации БС РФ │
├─────────────────┼───────────────────────────────────────────────────────┤
│     Высокая     │ От 1,5 до 3,0% от величины капитала организации БС РФ │
├─────────────────┼───────────────────────────────────────────────────────┤
│   Критическая   │   Более 3,0% от величины капитала организации БС РФ   │
└─────────────────┴───────────────────────────────────────────────────────┘

    6.5.  Данные,  на  основании которых проводится оценка СТП    нарушения
                                                              кол
ИБ,  и  ее  результаты документируются, для чего рекомендуется использовать
примерную   форму  документирования  данных  и  результатов  оценки  СТП
                                                                        кол
нарушения ИБ, приведенную в приложении 8.
    6.6.  Количественные  оценки  рисков  нарушения ИБ вычисляются для всех
свойств  ИБ  выделенных типов информационных активов и всех соответствующих
им комбинаций объектов среды и воздействующих на них источников угроз путем
перемножения оценок СВР    угроз ИБ и СТП    нарушения ИБ.
                       кол               кол

6.7. Результаты количественной оценки рисков нарушения ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 9.

6.8. Суммарная количественная оценка риска нарушения ИБ организации БС РФ вычисляется как сумма количественных оценок по всем отдельным рискам нарушения ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска нарушения ИБ.

5. Процедуры оценки рисков нарушения ИБ5. Процедуры оценки рисков нарушения ИБ "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009" (приняты и введены в действие Распоряжением Банка России от 11.11.2009 N Р-1190)

Приложение 1. РЕКОМЕНДУЕМЫЙ ПЕРЕЧЕНЬ КЛАССОВ, ОСНОВНЫХ ИСТОЧНИКОВ УГРОЗ ИБ И ИХ ОПИСАНИЕПриложение 1 к: "Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009" (приняты и введены в действие Распоряжением Банка России от 11.11.2009 N Р-1190)