ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

     7.2 РА02 - Оценивает воздействия

7.2.1 Область процесса

7.2.1.1 Краткое описание

Назначением области является идентификация воздействий, вызывающих опасения по отношению к системе, и оценки вероятности возникновения воздействий. Воздействия могут быть материальными, например, такими как потеря доходов или финансовые санкции, и нематериальными, такими как потеря репутации и доброго имени.

7.2.1.2 Цели:

- определение и характеризация воздействия рисков на безопасность системы.

7.2.1.3 Перечень базовых практик

BP.02.01 Определение, анализ и назначение приоритетов функциональных и деловых возможностей или возможностей выполнения целевых задач, используемых системой.

BP.02.02 Определение и составление спецификации активов системы, поддерживающих ключевые функциональные возможности или цели безопасности системы.

BP.02.03 Выбор показателя воздействия, используемого для этой оценки.

BP.02.04 При необходимости определения взаимосвязи между выбранной системой мер этой оценки и коэффициентами преобразования показателей.

BP.02.05 Определение и снятие характеристик воздействий.

BP.02.06 Мониторинг текущих изменений в воздействиях.

7.2.1.4 Примечания к области процесса

Воздействие является результатом (следствием) нежелательного инцидента, созданного намеренно или случайно и оказывающего негативное влияние на активы. Последствиями могут быть уничтожение определенных аспектов, нанесение ущерба системам ИТ и потеря конфиденциальности, целостности, доступности, подотчетности, аутентичности или надежности. Возможные косвенные последствия включают в себя финансовые убытки и потерю доли рынка или имиджа компании. Измерение воздействий позволяет установить соответствие между результатами нежелательного инцидента и стоимостью мер безопасности для защиты от него. Следует принимать во внимание частоту возникновения нежелательных инцидентов. Это имеет особое значение, когда объем ущерба, наносимого при каждом возникновении инцидента, невелик, но совокупное воздействие многочисленных инцидентов может привести к нанесению значительного ущерба. Оценка результатов воздействий является важным элементом оценки рисков и выбора мер безопасности.

Информация о воздействиях, получаемая в этой области процесса, предназначена для использования базовой практики РА03 наряду с информацией об угрозах от РА04 и информацией об уязвимостях от РА05. Несмотря на то, что действия по сбору информации об угрозах, уязвимостях и воздействиях были объединены в отдельные области процесса, они являются взаимозависимыми. Целью сбора информации о воздействиях является обнаружение комбинаций угрозы, уязвимости и воздействия, которые считаются достаточно рискованными для обоснования применения определенного действия. Следовательно, поиск воздействий должен в определенной степени определяться наличием соответствующих угроз и уязвимостей.

7.2.2 ВР.02.01 - Назначает приоритеты функциональным возможностям

Определение, анализ и назначение приоритетов функциональных и деловых возможностей или возможностей выполнения целевых задач, используемых системой.

7.2.2.1 Описание

Определение, анализ и назначение приоритетов руководящих указаний по эксплуатации, деловой деятельности или выполнению целевых задач. Следует принимать во внимание стратегии бизнеса, которые влияют на воздействия, которым может подвергаться организация, и смягчают их. Это в свою очередь может повлиять на последовательность рассмотрения рисков при других практических приемах и в других частях процесса. Следовательно, необходимо учитывать эти влияния при изучении потенциальных воздействий. Эта практика связана с действиями РА10.

7.2.2.2 Примеры результатов деятельности:

- указатели приоритетов системы и модификаторы воздействий

- краткая характеристика возможностей системы - описывает функциональные возможности системы и их значимость для выполнения назначения системы.

7.2.2.3 Примечания

Функциональные и информационные активы могут интерпретироваться по их ценности и критичности в определенной среде. Ценностью могут быть: функциональная значимость, засекречивание, уровень конфиденциальности и другие средства обозначения воспринимаемой ценности актива для намеченного функционирования и использования системы. Критичность может интерпретироваться как воздействие на функционирование системы, человеческую жизнь, эксплуатационные расходы и другие критические факторы, когда используемая функция компрометируется, модифицируется или недоступна в условиях эксплуатации. Ценность актива может быть также определена относительно его требованиям безопасности. Например, ценность может быть определена как конфиденциальность списка клиентов, доступность межофисной связи или целостность информации о списочном составе. Многие активы являются нематериальными или неявными в противоположность явным. Выбранный метод оценки рисков должен учитывать то, как определяется ценность функциональных возможностей и активов, и назначаются их приоритеты.

7.2.3 ВР.02.02 - Идентифицирует активы системы

Идентификация и характеристика активов системы, которые поддерживают ключевые функциональные возможности или цели обеспечения безопасности системы.

7.2.3.1 Описание

Идентифицирует ресурсы системы и данные, необходимые для поддержки целей обеспечения безопасности или ключевых возможностей (функциональные, деловые функции или функции по выполнению целевых задач) системы. Определяет каждый из этих активов путем оценки его значимости при предоставлении такой поддержки в рамках установленной среды.