Приложение 3

к Решению 21/17-7

Методика анализа рисков

       Критерии оценки защищенности ИС можно разделить на 2 типа: качественные и количественные методы оценки.

       Для количественной оценки используется формула:

РИСК = P происшествия* ЦЕНА ПОТЕРИ

где P происшествия = P угрозы * Р уязвимости

Угроза — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость — слабость в системе защиты, которая делает возможным реализацию угрозы.

Цена потери – сумма потерь в случае успешной реализации атаки.

Как правило, для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:

    Статистические данные – данные, полученные на основе сбора статистики нарушений ИБ, собранные своими силами, либо от  компаний, занимающихся сбором и анализом инцидентов нарушения ИБ, либо используя помощь страховых компаний. Экспертные оценки – оценки, которые дают сотрудники отдела безопасности или специалисты, занимающиеся обслуживанием АС ОРГАНИЗАЦИИ, либо сторонние эксперты (аудиторы, страховые компании и т. п.).

Основная проблема при вычислении количественных оценок РИСКА заключается в определении вероятности происшествия, которое зависит от вероятности угрозы и вероятности уязвимости (что требует индивидуального подхода).

Порядок действий при количественном методе оценки рисков:

Будем считать что у нас уже имеется «Перечень защищаемых ресурсов», «Классификация угроз информационной безопасности». Формируется Экспертная Комиссия (далее Комиссия) в состав которой должны входить сотрудники отдела безопасности, а также представители подразделений, которые участвуют в эксплуатации ИС ОРГАНИЗАЦИИ и могут дать экспертную оценку по угрозам ИБ. Эксперты Комиссии оценивают вероятность реализации каждой из угроз, определенных в документе «Классификации угроз ИБ» по отношению к каждому защищаемому ресурсу из «Перечня защищаемых ресурсов». При оценки вероятности угрозы нужно учитывать следующие факторы:
    привлекательность ресурса; возможностью использования ресурса для получения дохода; простота использования уязвимости при проведении атаки;
Подсчет ущерба, который может быть нанесен при реализации угрозы, можно определить из совокупности факторов:
    заработная плата сотрудников; стоимость упущенной выгоды; ущерб репутации организации; неприятности, связанные с нарушением действующего законодательства; ущерб для здоровья персонала; ущерб, связанный с разглашением персональных данных отдельных лиц; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с невозможностью выполнения обязательств; ущерб от дезорганизации деятельности.
Данные заносятся в таблицу:

Защищаемый ресурс

Критерии оценки ущерба

Стоимость ущерба

Уровень  критичности

Ресурс №1

Критерий №1

Критерий №2

Критерий №3

Ресурс №2

Критерий №1

Критерий №2

Критерий №3
По каждому ресурсу определяется уровень критичности. Уровней может быть несколько от 3 и выше, например: низкий – инцидента нарушения ИБ не повлияет или незначительно повлияет на функционирование ИС средний – инцидент нарушения ИБ приведет к остановке какой-либо из составных частей ИС или к кратковременной остановке функционирования бизнес-процессов в ОРГАНИЗАЦИИ высокий – инцидент нарушения ИБ приведет к значительным потерям или к остановке важных частей ИС ОРГАНИЗАЦИИ На основании полученных результатов, поводится выбор необходимых мер по защите ИБ с целью снижения уровня рисков. При выборе мер по защите ИБ необходимо помнить, что их стоимость не должна превышать стоимость самого ресурса. Каждая ОРГАНИЗАЦИЯ может воспользоваться специальными инструментальными средствами, которые существуют на рынке, для оценки рисков ИБ. При наличии таких средств, необходимо только следовать инструкциям и дать необходимые сведения (структура предприятия, применяемые меры защиты ИБ, стоимость ресурсов и т. п.). В итоге получим результат в графическом или табличном виде. Также можно моделировать уровни риска при применении тех или иных методов или средств защиты ИБ.