"Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" РС БР ИББС-2.2-2009" (приняты и введены в...

Приложение 9. Примерная форма документирования результатов количественной оценки рисков нарушения ИБ

Приложение 9

ПРИМЕРНАЯ ФОРМА

ДОКУМЕНТИРОВАНИЯ РЕЗУЛЬТАТОВ КОЛИЧЕСТВЕННОЙ ОЦЕНКИ РИСКОВ

НАРУШЕНИЯ ИБ

На примере заполнения:

тип информационного актива - "ДСП информация";

свойство ИБ - "Конфиденциальность";

способ реализации угрозы - "Несанкционированное копирование";

тип объекта среды - "Файлы данных с ДСП информацией";

источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".

┌───────────────┬────────────┬──────────┬───────────┬───────────┬──────────┬────────┬─────────┐

│ Тип │ Тип объекта│ Источник │Свойства ИБ│ Способ │ Оценка │ Оценка │ Оценка │

│информационного│ среды │ угрозы ИБ│типа инфор-│ реализации│ СТП │ СВР │ рисков │

│ актива │ │ │мационного │ угроз ИБ │ кол │ кол │нарушения│

│ │ │ │актива │ │ нарушения│угроз ИБ│ ИБ │

│ │ │ │ │ │ ИБ │ │ │

│ │ │ │ │ │ (рубли) │ │ │

├───────────────┼────────────┼──────────┼───────────┼───────────┼──────────┼────────┼─────────┤

│"ДСП │Файлы данных│Внутренний│Конфиден- │Несанкцио- │ 7 млн. │ 56% │3,92 млн.│

│информация" │с "ДСП │нарушитель│циальность │нированное │ │ │ │

│ │информацией"│ │ │копирование│ │ │ │

│ │ ├──────────┼───────────┼───────────┼──────────┼────────┼─────────┤

│ │ │ ... │ │ │ │ │ │

│ │ ├──────────┼───────────┼───────────┼──────────┼────────┼─────────┤

│ │ │Внешний │Конфиден- │Несанкцио- │ 9 млн. │ 15% │1,35 млн.│

│ │ │нарушитель│циальность │нированное │ │ │ │

│ │ │ │ │копирование│ │ │ │

└───────────────┴────────────┴──────────┴───────────┴───────────┴──────────┴────────┴─────────┘

Приложение 8. Примерная форма документирования данных и результатов оценки СТПкол нарушения ИБ