ПОЛОЖЕНИЕ ОБ ОПРЕДЕЛЕНИИ ТРЕБОВАНИЙ ПО КАТЕГОРИРОВАНИЮ РЕСУРСОВ АС
5.5. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.
Таблица 3
| Определение категории АРМ | ||
| Категория | Категории решаемых на АРМ задач | |
| АРМ | Максимальная | Минимальная |
| «A» | ||
| «B» | ||
| «C» | ||
| «D» |
На первом этапе работ по категорированию ресурсов конкретного АРМ производится категорирование всех видов информации, используемой при решении задач на данном АРМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".
На втором этапе, с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном АРМ.
На третьем этапе, устанавливается категория АРМ, исходя из максимальной категории задач, решаемых на нем.
На четвертом этапе, на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных АРМ).
ОПРЕДЕЛЕНИЕ УРОВНЯ РИСКА
Цель этого шага – оценить уровень риска ИС. Определение риска (R) для отдельной пары угроза(T)/уязвимость(V) может быть выражено функцией:
- Вероятность (P) данного источника угрозы пытающегося реализовать отдельную уязвимость
- Величина влияния (I) успешной реализации уязвимости источником угрозы
- Адекватности планируемых или существующих мер безопасности (M) для снижения или устранения риска.
;
Для измерения риска, необходимо выработать шкалу риска и матрицу уровней риска. Секция 3.7.1 предлагает стандартную матрицу уровней риска; Секция 3.7.2 описывает результирующий уровень риска.
МАТРИЦА УРОВНЯ РИСКА
Окончательное определение риска осуществляется путем объединения рейтингов полученных для вероятности угрозы и влияния угрозы. Таблица 3-7 ниже показывает, как может быть определен уровень риска, основываясь на вероятности и влияния угрозы. Матрица ниже – 3х3 матрица риска, зависящая от вероятности угрозы (Высокая, Средняя и Низкая) и влияния угрозы (Высокое, Среднее и Низкое). В зависимости от конкретных требований и желаемой детализации оценки риска, можно использовать матрицу 4х4 или 5х5. Последняя, например, может включать «Очень Низкая»/«Очень Высокая» вероятности угрозы и «Очень Низкое»/«Очень Высокое» влияния угрозы для определения новых уровней риска: «Очень Низкого»/«Очень Высокого». «Очень Высокий» уровень риска может, например, привести к отключению или остановки внедрения системы и приведет к необходимости тестирования всех ИС.
Пример матрицы в Таблице показывает, как можно получить уровень риска Высокий, Средний и Низкий. Определение этих уровней риска или рейтингов может быть субъективным. Необходимость этого может быть объяснена в терминах вероятности, назначенной для каждого уровня вероятности угрозы, и значения, назначенного для каждого уровня влияния. Для примера,
- Вероятность, назначенная для каждого уровня угроз: 1.0 – Высокая, 0.5 – Средняя, 0.1 – Низкая;
- Значения, назначенные для каждого уровня влияния: 100 – Высокое, 50 – Среднее, 10 – Низкое.
Таблица Матрица уровня риска
| Вероятность угрозы | Влияние | ||
| Низкое (10) | Среднее (50) | Высокое (100) | |
| Высокая (1.0) | Низкий 10 Х 1.0 = 10 | Средний 50 Х 1.0 = 50 | Высокий 100 Х 1.0 = 100 |
| Средняя (0.5) | Низкий 10 Х 0.5 = 5 | Средний 50 Х 0.5 = 25 | Средний 100 Х 0.5 = 50 |
| Низкая (0.1) | Низкий 10 Х 0.1 = 1 | Низкий 50 Х 0.1 = 5 | Низкий 100 Х 0.1 = 10 |
Шкала риска: Высокий (>50 до 100); Средний (>10 до 50); Низкий (1 до 10)[2]
ОПИСАНИЕ УРОВНЯ РИСКА
В Таблица 3-8 описаны уровни риска, которые представлены в матрице выше. В этой таблице представлена шкала риска, с рейтингом риска (Высокий, Средний и Низкий). Данный рейтинг представляет степень или уровень риска, которому ИС, средство или процедуры могут подвергнуться, если будет реализована некоторая уязвимость. На этой шкале риска также предлагаются действия, которые руководство организации, собственник ИС или данных, должен предпринять для данного уровня риска.
Таблица 3-8. Шкала риска и необходимых действий
| Уровень риска | Описание риска и Необходимых действий |
| Высокий | Если в результате обследования риск оценен как высокий, необходимо быстро реализовать корректирующие меры. Существующая система может продолжать функционировать, но корректирующие действия должны быть произведены незамедлительно. |
| Средний | Если в результате обследования риск оценен как средний, необходимы корректирующие действия, которые должны лечь в основу план снижения рисков, чтобы реализовать эти действия в разумные сроки. |
| Низкий | Если в результате обследования риск оценен как низкий, необходимо на уровне руководства организации определить следует ли реализовывать корректирующие действия или следует принять риск. |
Результат Шага 7 – уровень риска (Высокий, Средний, Низкий).
ВЫРАБОТКА РЕКОМЕНДАЦИЙ
В течение этого шага определяются меры безопасности, которые могут снизить определенные риски данной организации. Цель рекомендуемых мер – снизить уровень риска ИС и данных до приемлемого уровня. Для минимизации, рекомендуемыми мерами и альтернативными решениями, рисков должны быть рассмотрены следующие факторы:
- Эффективность рекомендуемых мер или альтернатив (например, совместимость с системой),
- Законы и регламенты,
- Политика организации,
- Влияния на функциональность,
-Безопасность и надежность.
Рекомендации мер безопасности являются результат процесса оценки рисков. Эти рекомендации являются входные данные для процесса уменьшения риска, в течении которого рекомендуемые процедуры и технические меры безопасности оцениваются, определяются их приоритеты и далее они реализуются.
Необходимо заметить, что не все рекомендуемые меры безопасности могут быть реализуемы для снижения потерь. Для определения, какие из рекомендуемых мер безопасности соответствуют специфике организации, чтобы продемонстрировать, что стоимость реализации мер может быть оправдана снижением уровня риска, необходимо выполнять анализ затрат/эффективности (как описано в Секции 4.5). Также в течении процесса уменьшения риска должно быть тщательно оценено влияние мер безопасности на функционировании системы (например, эффект на производительности системы) и непосредственно реализуемость рекомендуемых мер (например, технические требования, пользовательское одобрение).
Результат Шага 8 – рекомендации мер безопасности и альтернативных решений для уменьшения риска.