"Методический документ. Методика оценки угроз безопасности информации" (утв. ФСТЭК России 05.02.2021)

Приложение 2

к Методике оценки угроз

безопасности информации

РЕКОМЕНДАЦИИ

ПО ФОРМИРОВАНИЮ ЭКСПЕРТНОЙ ГРУППЫ И ПРОВЕДЕНИЮ

ЭКСПЕРТНОЙ ОЦЕНКИ ПРИ ОЦЕНКЕ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при оценке угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате их реализации. Завышение экспертами прогнозов и предположений при моделировании угроз безопасности информации может повлечь за собой неоправданные расходы на нейтрализацию (блокирование) угроз, являющихся неактуальными.

Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при оценке угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.

Любое решение, принимаемое экспертами при оценке угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа "гарантированности").

Приложение 1. Термины и определения, применяемые для целей настоящего методического документа а) формирование экспертной группы