ГОСТ Р ИСО/МЭК ТО 13335-3-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий

     9.1 Анализ высокого уровня риска

Прежде всего проводят предварительный анализ высокого уровня риска с тем, чтобы установить, какой из вариантов подхода (базовый или детальный) лучше подходит для конкретной системы информационных технологий. В ходе проведения такого предварительного анализа рассматривают деловую значимость систем информационных технологий и обрабатываемой с их помощью информации, а также уровня риска с учетом вида деловой деятельности организации. Исходные данные для принятия решения о том, какой вариант подхода является наиболее подходящим для каждой системы информационных технологий, могут быть получены на основе рассмотрения следующих условий:

- деловых целей, для достижения которых организация использует данную систему информационных технологий;

- в какой степени деловая активность предприятия зависит от конкретной системы информационных технологий, т.е. насколько функции, которые организация считает критическими для своего существования или эффективной реализации деловой деятельности, зависят от функционирования этой системы или обеспечения конфиденциальности, целостности, доступности, достоверности и надежности информации, обрабатываемой этой системой;

- вложения денежных средств в эту систему информационных технологий, в том числе в ее разработку, обслуживание или замену;

- активов данной системы ИТ, в которые организация вкладывает средства.

После того как эти условия проанализированы, принятие решения обычно не вызывает затруднений. Если целевое назначение системы важно для проведения организацией своей деловой деятельности, если стоимость замены системы высока или средства, вложенные в активы, подвержены высокому уровню риска, то для данной системы необходимо проведение детального анализа риска. Наличие одного из перечисленных выше условий может служить основанием для проведения детального анализа риска.

Придерживаются следующего общего правила: если прекращение функционирования данной системы информационных технологий может причинить ущерб или принести убытки организации, отрицательно повлиять на ее деловую деятельность или активы, то для оценки потенциального риска проводят детальный анализ риска (см. 9.3). Во всех других случаях достаточная безопасность системы может быть обеспечена применением базового подхода (см. 9.2).