Она состоит в следующем. Оценка риска проводится с помощью оценки возможности реализации угроз безопасности, связанных с уязвимостями, присущими тем или иным объектам защиты. На основе анализа воздействия угроз, им приписывается высокий, средний или низкий уровень риска по каждой зоне локализации уязвимостей.
Оценивались все угрозы, уязвимости и риски для обеспечения уверенности в том, что процесс оценки рисков в организации является полным. В таблице 12 приведены компоненты оценки риска.
Таблица 12 - Компоненты процесса оценки рисков
Если кто-либо захочет проследить угрозы
Через зоны уязвимостей
То они приведут в результате к какому-нибудь из следующих рисков
Все виды разведывательной деятельности зарубежных государств; информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети) со стороны вероятных противников; Диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия; Деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны. Нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях Министерства обороны Российской Федерации, на предприятиях оборонного комплекса; Преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения; Ненадежное функционирование информационных и телекоммуникационных систем специального назначения; Возможная информационно-пропагандистская деятельность, подрывающая престиж Вооруженных Сил Российской Федерации и их боеготовность; Нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов
Информационная инфраструктура центральных органов военного управления; Информационные ресурсы предприятий оборонного комплекса и научно-исследовательских учреждений; Программно-технические средства автоматизированных и автоматических систем управления войсками и оружием; Информационные ресурсы, системы связи и информационная инфраструктура других войск, воинских формирований и органов.
Денежная потеря. Потеря производительности. Затруднения в деятельности
При проведении оценки рисков рассматриваются три основные категории потерь. Они сами и их описание приведено в таблице 13
Таблица 13
Категории возможных потерь
Описание
Денежная потеря
Денежная потеря определяется как потеря ценностей или увеличение стоимости или расходов. В сомнительных случаях необходимо классифицировать более высокий риск денежной потери или более высокое возможное значение потери, более высокий риск функционирования деятельности.
Потеря производительности
Потеря производительности происходит тогда, когда персонал не способен продолжать выполнение своих обязанностей или когда необходимо повторять служебные обязанности. Прерывания работы или дублирование усилия могут приводить к недоступности рабочих функций или к некорректности результатов
Затруднения деятельности
Эта категория касается ситуаций, оказывающих влияние на установление общественного доверия. Следует учитывать также конфиденциальность, точность и согласованность
Матрица оценки рисков разделена на зоны локализации уязвимостей. В рамках каждой уязвимости перечисляются потенциальные угрозы. Справа от каждой угрозы приводятся уровни в рамках категорий потерь.
Матрица заполняется приданием уровня риска- высокого (В), среднего (С) или низкого (Н) - чтобы показывать зависимость каждой угрозы от каждой из зон локализации уязвимости с учетом заполнения ранее матрицы «угрозы» - «объект обеспечения ИБ».
Описание уровней риска:
Высокий: значительная денежная потеря, потеря производительности или затруднения, являющиеся результатом угрозы, вследствие соответствующей уязвимости.
Средний: номинальная денежная потеря, потеря производительности или случающиеся затруднения.
Низкий: либо минимальная возможность денежной потери, потери производительности, либо затруднения, либо вообще ничего.
Матрица оценки рисков приведена в таблице 14.
Таблица 14 - Матрица оценки рисков
ЗОНА УЯЗВИМОСТИ информационная инфраструктура центральных органов военного управления…
Риск денежной потери
Риск потери производительности
Риск затруднения деятельности
все виды разведывательной деятельности зарубежных государств
Н
С
В
информационно-технические воздействия со стороны вероятных противников
диверсионно-подрывная деятельность специальных служб иностранных государств
деятельность иностранных структур против интересов Российской Федерации
нарушение установленного регламента работы с информацией на предприятиях оборонного комплекса
преднамеренные действия, а также ошибки персонала
ненадежное функционирование систем специального назначения
возможная информационно-пропагандистская деятельность, подрывающая престиж ВСРФ
…утечка за рубеж ценнейших государственных информационных ресурсов
Страницы: 1, 2, 3, 4, 5, 6, 7, 8
