Файл: Оценка рисков Стандарт.pdf

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 30.07.2021

Просмотров: 295

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
background image

6

РС БР ИББС2.22009

нарушение доступности, целостности или конфиденциальности информационных активов); мас
штабов потенциального ущерба.

3.7. 

Обработка риска нарушения информационной безопасности: 

процесс выбора и

осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию
или уходу от риска.

3.8. 

Объект среды информационного актива: 

материальный объект среды использо

вания и (или) эксплуатации информационного актива (объект хранения, передачи, обработки,
уничтожения и т.д.).

3.9. 

Остаточный риск нарушения информационной безопасности: 

риск, остающий

ся после обработки риска нарушения ИБ.

3.10. 

Оценка риска нарушения информационной безопасности: 

систематический и

документированный процесс выявления, сбора, использования и анализа информации, позво
ляющей провести оценивание рисков нарушения ИБ, связанных с использованием информа
ционных активов организации БС РФ на всех стадиях их жизненного цикла.

3.11. 

Риск: 

мера, учитывающая вероятность реализации угрозы и величину потерь (ущер

ба) от реализации этой угрозы.

3.12. 

Риск нарушения информационной безопасности; риск нарушения ИБ

1

риск,

связанный с угрозой ИБ.

3.13. 

Угроза информационной безопасности; угроза ИБ: 

угроза нарушения свойств

ИБ — доступности, целостности или конфиденциальности информационных активов организа
ции БС РФ.

3.14. 

Ущерб: 

утрата активов, повреждение (утрата свойств) активов и (или) инфраструк

туры организации или другой вред активам и (или) инфраструктуре организации БС РФ, насту
пивший в результате реализации угроз ИБ через уязвимости ИБ.

4. Îáùèé ïîäõîä ê îöåíêå ðèñêîâ íàðóøåíèÿ ÈÁ

4.1. Информационные активы организации БС РФ рассматриваются в совокупности с со

ответствующими им объектами среды. При этом обеспечение свойств ИБ для информационных
активов выражается в создании необходимой защиты соответствующих им объектов среды.

4.2. Угрозы ИБ реализуются их источниками (источниками угроз ИБ), которые могут воз

действовать на объекты среды информационных активов организации БС РФ. В случае успеш
ной реализации угрозы ИБ информационные активы теряют часть или все свойства ИБ.

4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов

информации), входящих в предварительно определенную область оценки. Для оценки рисков
нарушения ИБ предварительно определяются и документально оформляются:

— полный перечень типов информационных активов, входящих в область оценки;
— полный перечень типов объектов среды, соответствующих каждому из типов информа

ционных активов области оценки;

— модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в организации БС РФ

типов объектов среды на всех уровнях иерархии информационной инфраструктуры орга
низации БС РФ.
Формирование перечня источников угроз и моделей угроз рекомендуется проводить с

учетом положений СТО БР ИББС1.0, а также перечня основных источников угроз ИБ, приве
денных в приложении 1.

4.4. Перечень типов информационных активов формируется на основе результатов вы

полнения в организации БС РФ классификации информационных активов. Состав перечня ти
пов информационных активов (классификация информации) не должен противоречить нормам
законодательства РФ, в том числе нормативных актов Банка России.

В качестве примера используется следующий перечень типов информационных активов

в организации БС РФ:

— информация ограниченного доступа:

— информация, содержащая сведения, составляющие банковскую тайну:
— платежная информация (информация, предназначенная для проведения расчетных,

кассовых и других банковских операций и учетных операций);

— информация, содержащая сведения, составляющие коммерческую тайну;
— персональные данные;

1

Риски нарушения ИБ заключаются в возможности утраты свойств ИБ информационных активов в результате реализации угроз

ИБ, вследствие чего организации БС РФ может быть нанесен ущерб.


background image

7

РС БР ИББС2.22009

— управляющая информация платежных, информационных и телекоммуникационных

систем (информация, используемая для технической настройки программноаппарат
ных комплексов обработки, хранения и передачи информации);

— открытая (общедоступная) информация.

В конкретной организации БС РФ указанный перечень может быть изменен в соответст

вии с принятыми в ней подходами к классификации информационных активов и уровнем дета
лизации типов информационных активов при проведении оценки рисков нарушения ИБ.

4.5. Формирование перечней типов объектов среды выполняется в соответствии с ие

рархией уровней информационной инфраструктуры организации БС РФ, определенной в
СТО БР ИББС1.0. В частности, указанные перечни могут содержать следующие типы объектов
среды:

— линии связи и сети передачи данных;
— сетевые программные и аппаратные средства, в том числе сетевые серверы;
— файлы данных, базы данных, хранилища данных;
— носители информации, в том числе бумажные носители;
— прикладные и общесистемные программные средства;
— программнотехнические компоненты автоматизированных систем;
— помещения, здания, сооружения;
— платежные и информационные технологические процессы.

4.6. Риск нарушения ИБ определяется на основании качественных оценок:

— степени возможности реализации угроз ИБ (далее — СВР угроз ИБ) выявленными и (или)

предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды
рассматриваемых типов информационных активов;

— степени тяжести последствий от потери свойств ИБ для рассматриваемых типов инфор

мационных активов (далее — СТП нарушения ИБ).
4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выпол

няемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразде
лений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотруд
ники профильных подразделений, использующих рассматриваемые типы информационных ак
тивов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках по
стоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ ра
бочей группы.

4.8. К экспертной оценке СВР угроз ИБ и СТП нарушения ИБ привлекаются сотрудники

организации БС РФ, обладающие необходимыми знаниями, образованием и опытом работы.

4.8.1. Рекомендуется, чтобы эксперты, привлекаемые для оценки СВР угроз ИБ и СТП

нарушения ИБ из числа сотрудников службы ИБ или подразделения информатизации органи
зации БС РФ, имели:

знания законодательства РФ в области обеспечения информационной безопасности;
знания международных и национальных стандартов в области обеспечения информаци

онной безопасности;

знания нормативных актов и предписаний регулирующих и надзорных органов в области

обеспечения информационной безопасности;

знания внутренних документов организации БС РФ, регламентирующих деятельность в

области обеспечения информационной безопасности;

знания о современных средствах вычислительной и телекоммуникационной техники, опе

рационных системах, системах управления базами данных, а также о конкретных способах обес
печения информационной безопасности в них;

знания о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реали

зации угроз ИБ в прошлом;

знания о способах обеспечения информационной безопасности в платежных, информа

ционных и телекоммуникационных системах организации БС РФ;

понимание различных подходов к обеспечению информационной безопасности, знания

защитных мер, свойственных им ограничений.

4.8.2. Рекомендуется, чтобы эксперты, привлекаемые для оценки СТП нарушения ИБ из

числа сотрудников профильных подразделений, имели:

знания законодательства РФ в области своей профессиональной деятельности;
знания нормативных актов и предписаний регулирующих и надзорных органов в области

своей профессиональной деятельности;

знания внутренних документов организации БС РФ, регламентирующих их профессио

нальную деятельность;


background image

8

РС БР ИББС2.22009

знания бизнеспроцессов организации БС РФ, а также организации платежных и инфор

мационных технологических процессов в области своей профессиональной деятельности;

понимание степени влияния возможных инцидентов ИБ на функционирование бизнес

процессов организации БС РФ в области своей профессиональной деятельности;

знания о платежных, информационных и телекоммуникационных системах организации

БС РФ в области своей профессиональной деятельности.

4.8.3. Рекомендуется, чтобы каждый эксперт, привлекаемый для оценки рисков наруше

ния ИБ, соответствовал следующим характеристикам:

имел высшее образование;
четырехлетний опыт постоянной работы в своей профессиональной области;
поддерживал и совершенствовал собственные знания;
имел способность идентифицировать в организации БС РФ людей, которые могут пре

доставить необходимую информацию;

обладал навыками делового и управленческого взаимодействия.
4.8.4. Если работники организации БС РФ не обладают необходимыми знаниями и опы

том для оценки СВР угроз ИБ, рекомендуется привлекать консультантов или экспертов, кото
рые не являются работниками организации БС РФ.

5. Ïðîöåäóðû îöåíêè ðèñêîâ íàðóøåíèÿ ÈÁ

5.1. Исходными данными для оценки рисков нарушения ИБ является информация, опре

деленная в п. 4.4 настоящей методики.

5.2. Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.
Процедура 1. Определение перечня типов информационных активов, для которых выпол

няются процедуры оценки рисков нарушения ИБ (далее — область оценки рисков нарушения
ИБ).

Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из

типов информационных активов области оценки рисков нарушения ИБ.

Процедура 3. Определение источников угроз для каждого из типов объектов среды, оп

ределенных в рамках выполнения процедуры 2.

Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, опре

деленных в рамках выполнения процедуры 2.3.

Процедура 5. Определение СТП нарушения ИБ для типов информационных активов об

ласти оценки рисков нарушения ИБ.

Процедура 6. Оценка рисков нарушения ИБ.
5.3. 

Процедура 1. 

Область оценки рисков нарушения ИБ может быть определена как:

— перечень типов информационных активов организации БС РФ в целом;
— перечень типов информационных активов подразделения организации БС РФ;
— перечень типов информационных активов, соответствующих отдельным процессам дея

тельности организации БС РФ в целом или подразделения организации БС РФ.
5.3.1. Для каждого из типов информационных активов определяется перечень свойств

ИБ, поддержание которых необходимо обеспечивать в рамках СОИБ организации БС РФ.

Основными свойствами ИБ в рамках настоящей методики являются:

— конфиденциальность;
— целостность;
— доступность.

При необходимости для конкретных типов информационных активов в организации БС РФ

могут определяться другие (дополнительные) свойства ИБ.

5.3.2. Перечень типов информационных активов области оценки рисков нарушения ИБ и

их свойства ИБ документально фиксируются, для чего рекомендуется использовать примерную
форму, приведенную в приложении 2.

5.4. 

Процедура 2. 

Для каждого из выделенных в рамках выполнения процедуры 1 типов

информационных активов составляется перечень типов объектов среды. При составлении дан
ного перечня рассматриваемые типы объектов среды разделяются по уровням информацион
ной инфраструктуры организации БС РФ.

Перечень типов объектов среды документально фиксируется, для чего рекомендуется

использовать примерную форму, приведенную в приложении 3.

5.5. 

Процедура 3. 

Для каждого из определенных в рамках выполнения процедуры 2 ти

пов объектов среды составляется перечень источников угроз, воздействие которых может при


background image

9

РС БР ИББС2.22009

вести к потере свойств ИБ соответствующих типов информационных активов. Типы объектов
среды и выявляемые для них источники угроз должны соответствовать друг другу в рамках ие
рархии информационной инфраструктуры организации БС РФ.

Перечень источников угроз формируется на основе модели угроз организации БС РФ.

При этом возможно расширение первоначального перечня источников угроз, зафиксирован
ных в модели угроз организации БС РФ (или же его дополнительная структуризация путем со
ставления новых моделей угроз для некоторых из выделенных типов объектов среды или от
дельных объектов среды).

При формировании перечня источников угроз рекомендуется рассматривать возможные

способы их воздействия на объекты среды, в результате чего возможна потеря свойств ИБ со
ответствующих типов информационных активов (способы реализации угроз ИБ). Степень дета
лизации и порядок группировки для рассмотрения способов реализации угроз ИБ определяют
ся организацией БС РФ.

5.5.1. Результаты выполнения процедуры 3 документально фиксируются, для чего реко

мендуется использовать примерную форму документирования данных и результатов оценки СВР
угроз ИБ, приведенную в приложении 4 (заполнению подлежат поля: “Тип информационного
актива”, “Тип объекта среды”, “Источник угроз ИБ”, “Свойства ИБ типа информационного акти
ва”, “Способ реализации угроз ИБ”).

5.6. 

Процедура 4. 

Для выполнения оценки СВР угроз ИБ используются результаты вы

полнения процедур 1, 2, 3 настоящей методики и проводится анализ возможности потери каж
дого из свойств ИБ для каждого из типов информационных активов в результате воздействия
на соответствующие им типы объектов среды выделенных источников угроз.

5.6.1. Основными факторами для оценки СВР угроз ИБ являются:

— информация соответствующих моделей угроз, в частности:

— данные о расположении источника угрозы относительно соответствующих типов объ

ектов среды;

— информация о мотивации источника угрозы (для источников угроз антропогенного ха

рактера);

— предположения о квалификации и (или) ресурсах источника угрозы;
— статистические данные о частоте реализации угрозы ее источником в прошлом;
— информация о способах реализации угроз ИБ;
— информация о сложности обнаружения реализации угрозы рассматриваемым источ

ником;

— данные о наличии у рассматриваемых типов объектов среды организационных, техни

ческих и прочих априорных защитных мер.

5.6.2. Для оценки СВР угроз ИБ используется следующая качественная шкала степеней:

— нереализуемая;
— минимальная;
— средняя;
— высокая;
— критическая.

При привлечении к оценке отдельных СВР угроз ИБ нескольких экспертов и получении

разных экспертных оценок рекомендуется итоговую, обобщенную оценку СВР угроз ИБ прини
мать равной экспертной оценке, определяющей наибольшую СВР угрозы ИБ.

5.6.3. Данные, на основании которых проводится оценка СВР угроз ИБ, и ее результаты

документируются, для чего рекомендуется использовать примерную форму документирования
данных и результатов оценки СВР угроз ИБ, приведенную в приложении 4 (заполнению подле
жат поля: “Используемые априорные защитные меры”, “Прочие данные, определяющие СВР
угроз ИБ”, “Оценка СВР угроз ИБ”).

5.7. 

Процедура 5. 

Для выполнения оценки СТП нарушения ИБ используются результаты

выполнения процедур 1, 2, 3 настоящей методики и проводится анализ последствий потери
каждого из свойств ИБ для каждого из типов информационных активов в результате воздейст
вия на соответствующие им типы объектов среды выделенных источников угроз.

5.7.1. Основными факторами для оценки СТП нарушения ИБ являются:

— степень влияния на непрерывность деятельности организации БС РФ;
— степень влияния на деловую репутацию;
— объем финансовых и материальных потерь;
— объем финансовых и материальных затрат, необходимых для восстановления свойств ИБ

для информационных активов рассматриваемого типа и ликвидации последствий нару
шения ИБ;


background image

10

РС БР ИББС2.22009

— объем людских ресурсов, необходимых для восстановления свойств ИБ для информаци

онных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;

— объем временных затрат, необходимых для восстановления свойств ИБ для информаци

онных активов рассматриваемого типа и ликвидации последствий нарушения ИБ;

— степень нарушения законодательных требований и (или) договорных обязательств орга

низации БС РФ;

— степень нарушения требований регулирующих и контролирующих (надзорных) органов в

области ИБ, а также требований нормативных актов Банка России;

— объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации, соответ

ствующей рассматриваемому типу объекта среды;

— данные о наличии у рассматриваемых типов объектов среды организационных, техниче

ских и прочих апостериорных защитных мер.
5.7.2. Для оценки СТП нарушения ИБ вследствие реализации угроз ИБ используется сле

дующая качественная шкала степеней:

— минимальная;
— средняя;
— высокая;
— критическая.

При привлечении к оценке отдельных СТП нарушения ИБ нескольких экспертов и получе

нии разных экспертных оценок рекомендуется итоговую, обобщенную оценку СТП нарушения
ИБ принимать равной экспертной оценке, определяющей наибольшую СТП нарушения ИБ.

5.7.3. Данные, на основании которых проводится оценка СТП нарушения ИБ, и ее резуль

таты документируются, для чего рекомендуется использовать примерную форму документиро
вания данных и результатов оценки СТП нарушения ИБ, приведенную в приложении 5.

5.8. 

Процедура 6. 

Оценка рисков нарушения ИБ проводится на основании сопоставле

ния оценок СВР угроз ИБ и оценок СТП нарушения ИБ вследствие реализации соответствую
щих угроз.

Оценка рисков проводится для всех свойств ИБ выделенных типов информационных ак

тивов и всех соответствующих им комбинаций типов объектов среды и воздействующих на них
источников угроз.

Для выполнения оценки рисков нарушения ИБ необходимо использовать результаты вы

полнения процедур 4 и 5 настоящей методики.

5.8.1. Для оценки рисков нарушения ИБ используется следующая качественная шкала:

— допустимый;
— недопустимый.

5.8.2. Для сопоставления оценок СВР угроз ИБ и оценок СТП нарушения ИБ заполняется

таблица допустимых/недопустимых рисков нарушения ИБ. Рекомендуемый пример ее запол
нения приведен в таблице 1. Оценка рисков нарушения ИБ проводится с учетом данных указан
ной таблицы.

Таблица 1. Допустимые/недопустимые риски нарушения
информационной безопасности

Б

И

з

о

р

г

у

Р

В

С

Б

И

я

и

н

е

ш

у

р

а

н

П

Т

С

я

а

н

ь

л

а

м

и

н

и

м

я

я

н

д

е

р

с

я

а

к

о

с

ы

в

я

а

к

с

е

ч

и

т

и

р

к

я

а

м

е

у

з

и

л

а

е

р

е

н

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

я

а

н

ь

л

а

м

и

н

и

м

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

е

н

я

я

н

д

е

р

с

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

е

н

й

ы

м

и

т

с

у

п

о

д

е

н

я

а

к

о

с

ы

в

й

ы

м

и

т

с

у

п

о

д

й

ы

м

и

т

с

у

п

о

д

е

н

й

ы

м

и

т

с

у

п

о

д

е

н

й

ы

м

и

т

с

у

п

о

д

е

н

я

а

к

с

е

ч

и

т

и

р

к

й

ы

м

и

т

с

у

п

о

д

е

н

й

ы

м

и

т

с

у

п

о

д

е

н

й

ы

м

и

т

с

у

п

о

д

е

н

й

ы

м

и

т

с

у

п

о

д

е

н

5.8.3. Результаты оценки рисков нарушения ИБ документально фиксируются, для чего

рекомендуется использовать примерную форму, приведенную в приложении 6.