Результатом реализации угроз информации может быть ее утрата, утечка, искажение или блокирование.
Ценность объекта ИБ | Семантическая характеристика ценности объекта ИБ |
Малоценный | От объекта ИБ не зависят критически важные задачи. При нанесении ущерба объекту ИБ на восстановление не требуются больших затрат времени и средств |
Средняя | От объекта ИБ зависит ряд важных задач. При нанесении ущерба объекту ИБ время и стоимость восстановления находятся в допустимых пределах |
Ценный | От объекта ИБ зависят критически важные задачи. При нанесении ущерба объекту ИБ время и стоимость восстановления превышают допустимые значения |
Категории ущерба. Выделение "материального", "нематериального" ущерба. (имиджу, репутации).
Степень ущерба | Описание ущерба |
Ничтожный | Ущербом (угрозой) можно пренебречь |
Незначительный | Ущерб легко устраним, затраты на ликвидацию последствий реализации угрозы невелики. Финансовые операции не ведутся некоторое время. Положение на рынке и количество клиентов меняются незначительно. |
Умеренный | Ликвидация последствий реализации угрозы не связана с крупными затратами и не затрагивает критически важные задачи. Положение на рынке ухудшается. Потеря части клиентов |
Серьезный | Затрудняется выполнение критически важных задач. Утрата на длительный период (например, до года) положения на рынке. Ликвидация последствий со значительными финансовыми инвестициями |
Критический | Невозможность решения критически важных задач. Организация прекращает существование |
Частоту реализации угрозы за определенный период времени также можно определить семантически .
Частота реализации угрозы | Значение вероятности | Вероятность реализации угрозы |
- | Около нуля | Угроза практически никогда не реализуется |
1 раз за несколько лет | Очень низкая | Угроза реализуется редко |
1 раз за год | Низкая | Скорее всего, угроза не реализуется |
1 раз в месяц | Средняя | Скорее всего, угроза реализуется |
1 раз в неделю | Выше средней | Угроза почти обязательно реализуется |
1 раз за день | Высокая | Шансов на положительный исход нет |
Управление рисками включает в себя 2 вида деятельности:
Процесс управления рисками можно подразделить на следующие этапы:
1. Определение среды, границ и идентификация активов АС, фиксируются:
В состав активов ИТ включаются:
2. Анализ мер и средств обеспечения безопасности и идентификация уязвимостей:
Для определения состава уязвимостей используются следующие источники:
3. Идентификация угроз безопасности: угрозы безопасности ИТ следующих категорий:
Описание угрозы безопасности должно содержать:
Описание источника угрозы должно содержать:
4. Определение вероятности реализации угрозы: должны быть учтены:
5. Оценка уровня ущерба по формулам доступно по ссылке
6. Оценка риска