Sb96058
.pdf3. Форма описания частной модели угроз информационной безопасности
Частная модель угроз информационной безопасности для объекта защиты ___________________________________
(наименование объекта защиты)
31
|
|
|
|
|
|
Объект защиты |
Возможные |
№ |
Условное |
Название |
Источник |
Используемая |
Способ |
(в соответствии |
последствия |
п/п |
обозначение |
угрозы |
угрозы |
уязвимость |
реализации |
с Перечнем |
реализации |
|
угрозы |
|
|
|
угрозы |
объекта |
угрозы |
|
|
|
|
|
|
защиты) |
|
|
|
|
|
|
|
|
|
|
|
3 |
|
|
6 |
|
|
1 |
2 |
4 |
5 |
7 |
8 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
31
4. Реестр рисков информационной безопасности
для объекта защиты _________________________________
(наименование объекта защиты)
|
|
|
|
|
|
|
|
Уровень |
|
Уровень |
|
|
|
№ |
Наименование |
|
Объект |
|
|
|
Уровень |
вероятности |
Уровень |
Приемлемость |
|
|
|
Уязвимость |
Угроза |
|
возможного |
|||||||
|
п/п |
риска |
|
защиты |
|
|
|
ущерба |
уязвимости |
реализации |
риска |
риска |
|
|
|
|
|
|
|
|
|
угрозы |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
2 |
|
3 |
4 |
5 |
|
6 |
7 |
8 |
9 |
10 |
32 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Председатель комиссии |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
___________________ |
_______________________ |
|
|
|
|||
|
|
|
|
|
(подпись) |
|
(ФИО) |
|
|
|
||
Члены комиссии: |
|
___________________ |
_______________________ |
|
|
|
||||||
|
|
|
|
|
(подпись) |
|
(ФИО) |
|
|
|
||
|
|
|
|
|
___________________ |
_______________________ |
|
|
|
|||
|
|
|
|
|
(подпись) |
|
(ФИО) |
|
|
|
32
5. Типовая форма документирования результатов идентификации защитных мер
№ |
Условное |
Наименование |
Краткое описание |
Статус |
|
п/п |
обозначение |
защитной меры |
реализации |
||
|
|||||
|
|
|
|
|
|
1 |
2 |
3 |
4 |
5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
33
33
6. Типовая форма документирования результатов идентификации уязвимостей
№ |
Условное |
Наименование |
|
Угроза, использующая |
Имеющиеся |
Уровень |
|
обозначение |
Объект защиты |
||||||
п/п |
уязвимости |
уязвимость |
защитные меры |
уязвимости |
|||
|
уязвимости |
|
|
|
|
|
|
|
|
|
|
|
6 |
|
|
1 |
2 |
3 |
4 |
5 |
7 |
34
34
7. Матрица рисков, ВР = f(УВУ, УВРУ, УУ)
|
|
|
Уровень вероятности реализации угрозы |
|
||||||||
Уровень |
|
|
|
|
|
|
|
|
|
|
|
|
1 (максимальный) |
|
2 (средний) |
|
|
3 (минимальный) |
|||||||
возможного |
|
|
|
|
|
|
|
|
|
|
|
|
ущерба |
|
|
|
Уровень уязвимости |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
2 |
3 |
1 |
|
2 |
|
3 |
1 |
|
2 |
3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
1 |
2 |
3 |
2 |
|
3 |
|
4 |
3 |
|
4 |
5 |
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
2 |
3 |
4 |
3 |
|
4 |
|
5 |
4 |
|
5 |
6 |
|
|
|
|
|
|
|
|
|
|
|
|
|
3 |
3 |
4 |
5 |
4 |
|
5 |
|
6 |
5 |
|
6 |
7 |
|
|
|
|
|
|
|
|
|
|
|
|
|
Здесь: ВР – величина риска; f – функция; УВУ – уровень возможного ущерба; УВРУ – уровень вероятности реализации угрозы; УУ – уровень уязвимости.
Пример. В результате анализа рисков для объекта защиты мы имеем: УВУ = 2; УВРУ = 3 (минимальный); УУ = 1. В этом случае по таблице величина риска ВР = 4.
35
8. План защиты и контроля безопасности информации
УТВЕРЖДАЮ
Руководитель
______________________________________
(наименование компании)
______________________________________
(подпись, ФИО)
«___» ________________ 20__ г.
ПЛАН защиты и контроля безопасности информации
Цель защиты и контроля:___________________________________________________
Основные задачи защиты и контроля:_________________________________________
_________________________________________________________________________
_________________________________________________________________________
|
|
Обеспечение конфиденциальности |
|
|||
|
|
|
|
|
|
|
№ |
Планируемое |
|
Объект |
Ответственный |
Срок |
Привлекаемые |
п/п |
мероприятие |
|
защиты |
исполнитель |
исполнения |
силы |
|
защиты |
|
|
|
|
и средства |
|
и контроля |
|
|
|
|
|
|
|
|
|
|
|
|
1 |
2 |
|
3 |
4 |
5 |
6 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Обеспечение целостности |
|
|
|
|
|
|
|
|
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
|
|
Обеспечение доступности |
|
|
|
|
|
|
|
|
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
|
|
|
Руководитель
______________________________________
(наименование компании)
______________________________________
(подпись, ФИО)
«___» ________________ 20__ г.
36