- •Национальный стандарт российской федерации
- •1 Область применения
- •2 Нормативные ссылки
- •3 Термины и определения
- •4 Структура
- •6 Способы управления безопасностью информационных технологий
- •7 Цели, стратегия и политика безопасности информационных технологий
- •7.1 Цели и стратегия безопасности информационных технологий
- •7.2 Политика безопасности информационных технологий
- •8 Основные варианты стратегии анализа риска организации
- •8.1 Базовый подход
- •8.2 Неформальный подход
- •8.3 Детальный анализ риска
- •8.4 Комбинированный подход
- •9 Комбинированный подход
- •9.1 Анализ высокого уровня риска
- •9.2 Базовый подход
- •9.3 Детальный анализ риска
- •9.3.1 Установление границ рассмотрения
- •9.3.2 Идентификация активов
- •9.3.3 Оценка активов и установление зависимости между активами
- •9.3.4 Оценка угроз
- •9.3.5 Оценка уязвимости
- •9.3.6 Идентификация существующих/планируемых защитных мер
- •9.3.7 Оценка рисков
- •9.4 Выбор защитных мер
- •9.4.1 Определение защитных мер
- •9.4.2 Структура безопасности информационных технологий
- •9.4.3 Идентификация и анализ ограничений
- •9.5 Приемлемость рисков
- •9.6 Политика безопасности систем информационных технологий
- •9.7 План безопасности информационных технологий
- •10 Выполнение плана информационной безопасности
- •10.1 Осуществление мер защиты
- •10.2 Компетентность в вопросах безопасности
- •10.2.1 Анализ потребности в знаниях
- •10.2.2 Представление программы
- •10.2.3 Контроль программы обеспечения компетентности в вопросах безопасности
- •10.3 Обучение персонала информационной безопасности
- •10.4 Процесс одобрения информационных систем
- •11 Последующее сопровождение системы
- •11.1 Обслуживание
- •11.2 Проверка соответствия безопасности
- •11.3 Управление изменениями
- •11.4 Мониторинг
- •11.5 Обработка инцидентов
- •12 Резюме
- •Приложение a
- •Примерный перечень вопросов, входящих в состав политики безопасности информационных технологий организации
- •Приложение b
- •Оценка активов
- •Приложение c
- •Перечень типичных видов угроз
- •Приложение d
- •Примеры общих уязвимостей
- •1 Среда и инфраструктура
- •2 Аппаратное обеспечение
- •3 Программное обеспечение
- •4 Коммуникации
- •5 Документы
- •6 Персонал
- •7 Общие уязвимые места
- •Приложение е
- •Типология методов анализа риска
- •1 Матрица с заранее определенными значениями
- •2 Ранжирование угроз по мерам риска
- •3 Оценка частоты появления и возможного ущерба, связанного с рисками
- •4 Разграничение между допустимыми и недопустимыми рисками
- •Приложение f
- •Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
4 Разграничение между допустимыми и недопустимыми рисками
Другой способ измерения рисков состоит только в разграничении допустимых и недопустимых рисков. Предпосылка заключается в том, что меры рисков используют лишь для ранжирования областей по срочности принятия необходимых мер, что может быть достигнуто с затратой меньших усилий.
В соответствии с таким подходом применяемая матрица уже не содержит числовых значений, а только буквы Т (для допустимых рисков) и N (для недопустимых рисков). Так, например, матрица, используемая для метода 3, может быть преобразована в матрицу по таблице 5.
Таблица 5
|
Частота
|
Ценность актива
| ||||
|
|
0
|
1
|
2
|
3
|
4
|
|
0
|
Т
|
Т
|
Т
|
Т
|
N
|
|
1
|
Т
|
Т
|
Т
|
N
|
N
|
|
2
|
Т
|
Т
|
N
|
N
|
N
|
|
3
|
Т
|
N
|
N
|
N
|
N
|
|
4
|
N
|
N
|
N
|
N
|
N
|
Эта матрица, как и предыдущие, приведена только в качестве примера. Обозначение границы между допустимыми и недопустимыми рисками - на усмотрение пользователя.
Приложение f
(справочное)
Сведения о соответствии национальных стандартов Российской Федерации ссылочным международным стандартам
|
Обозначение ссылочного международного стандарта |
Обозначение и наименование соответствующего национального стандарта
|
|
ИСО/МЭК ТО 13335-1:1996
|
ГОСТ Р ИСО/МЭК 13335-1-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий |
|
ИСО/МЭК ТО 13335-4:2000
|
ГОСТ Р ИСО/МЭК ТО 13335-4-2006 Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер |