6. Оценка рисков нарушения ИБ в количественной (денежной) форме
6. Оценка рисков нарушения ИБ в количественной
(денежной) форме 
6.1. Риски нарушения ИБ могут быть оценены в количественной (денежной) форме. Оценка рисков нарушения ИБ в количественной форме проводится с целью формирования резервов на возможные потери, связанные с инцидентами ИБ, и определяется на основании количественных оценок:
- СВР угроз ИБ, выраженной в количественной форме (процентах) (далее -
СВР угроз ИБ);
кол
- СТП нарушения ИБ, выраженной в количественной (денежной) форме (далее
- СТП нарушения ИБ).
кол
6.2. Оценки СВР угроз ИБ формируются экспертно путем перевода
кол
качественных оценок СВР угроз ИБ, полученных в рамках выполнения процедуры
4, в количественную форму в соответствии со следующей рекомендуемой шкалой:
Таблица 2. Рекомендуемая шкала соответствия СВР угроз ИБ и СВР угроз ИБ
кол
┌──────────────────────────────────┬──────────────────────────────────────┐ │ Величина СВР угроз ИБ │ Величина СВР угроз ИБ │ │ │ кол │ ├──────────────────────────────────┼──────────────────────────────────────┤ │ Нереализуемая │ 0% │ ├──────────────────────────────────┼──────────────────────────────────────┤ │ Минимальная │ От 1 до 20% │ ├──────────────────────────────────┼──────────────────────────────────────┤ │ Средняя │ От 21 до 50% │ ├──────────────────────────────────┼──────────────────────────────────────┤ │ Высокая │ От 51 до 100% │ ├──────────────────────────────────┼──────────────────────────────────────┤ │ Критическая │ 100% │ └──────────────────────────────────┴──────────────────────────────────────┘
6.3. Данные, на основании которых проводится оценка СВР угроз ИБ, и
кол
ее результаты документируются, для чего рекомендуется использовать
примерную форму документирования данных и результатов оценки СВР угроз
кол
ИБ, приведенную в приложении 7.
6.4. Оценки СТП нарушения ИБ формируются экспертно путем перевода
кол
качественных оценок СТП нарушения ИБ, полученных в рамках выполнения
процедуры 5, в количественную форму в соответствии со следующей
рекомендуемой шкалой:
Таблица 3. Рекомендуемая шкала соответствия СТП нарушения ИБ и СТП
кол
нарушения ИБ
┌─────────────────┬───────────────────────────────────────────────────────┐ │ Величина СТП │ Величина СТП нарушения ИБ │ │ нарушения ИБ │ кол │ ├─────────────────┼───────────────────────────────────────────────────────┤ │ Минимальная │ До 0,5% от величины капитала организации БС РФ │ ├─────────────────┼───────────────────────────────────────────────────────┤ │ Средняя │ От 0,5 до 1,5% от величины капитала организации БС РФ │ ├─────────────────┼───────────────────────────────────────────────────────┤ │ Высокая │ От 1,5 до 3,0% от величины капитала организации БС РФ │ ├─────────────────┼───────────────────────────────────────────────────────┤ │ Критическая │ Более 3,0% от величины капитала организации БС РФ │ └─────────────────┴───────────────────────────────────────────────────────┘
6.5. Данные, на основании которых проводится оценка СТП нарушения
кол
ИБ, и ее результаты документируются, для чего рекомендуется использовать
примерную форму документирования данных и результатов оценки СТП
кол
нарушения ИБ, приведенную в приложении 8.
6.6. Количественные оценки рисков нарушения ИБ вычисляются для всех
свойств ИБ выделенных типов информационных активов и всех соответствующих
им комбинаций объектов среды и воздействующих на них источников угроз путем
перемножения оценок СВР угроз ИБ и СТП нарушения ИБ.
кол кол
6.7. Результаты количественной оценки рисков нарушения ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 9.
6.8. Суммарная количественная оценка риска нарушения ИБ организации БС РФ вычисляется как сумма количественных оценок по всем отдельным рискам нарушения ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска нарушения ИБ.
