Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 21827-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса

     7.3 РА03 - Оценивает риск безопасности

7.3.1 Область процесса

7.3.1.1 Краткое описание

Назначением области процесса по оценке риска безопасности является идентификация, анализ и оценивание рисков безопасности системы в определенных условиях (среде). Данная область процесса сосредоточена на выявлении этих рисков, основанном на общепринятом знании того, каким образом возможности и активы уязвимы для угроз. Конкретно эта деятельность включает в себя определение и оценку вероятности появления подверганий. Данный комплекс действий выполняется в любое время в ходе жизненного цикла системы для поддержки решений, связанных с разработкой, обслуживанием и эксплуатацией системы в известной среде.

7.3.1.2 Цели:

- достижение понимания риска безопасности, связанного с эксплуатацией системы в определенной среде;

- назначение приоритетов рискам в соответствии с установленной методологией.

7.3.1.3 Перечень базовых практик

BP.03.01 Выбор методов, технологии и критериев, по которым идентифицируются, анализируются, оцениваются и сравниваются риски безопасности для системы в определенной среде.

BP.03.02 Идентификация угроз/уязвимостей/подвергания воздействиям.

BP.03.03 Оценка рисков, связанных с возникновением факта незащищенности.

BP.03.04 Оценка общей неопределенности, связанной с риском незащищенности.

BP.03.05 Упорядочивание рисков по приоритетам.

BP.03.06 Постоянный контроль текущих изменений в диапазоне рисков и изменений их характеристик.

7.3.1.4 Примечания к области процесса

Риском безопасности является вероятность реализации воздействия нежелательного инцидента. Будучи связанным с проектными рисками, касающимися расходов и графика, риск безопасности имеет дело конкретно с защитой активов и возможностей системы от воздействий.

Оценивание риска всегда включает в себя фактор неопределенности, который изменяется в зависимости от конкретной ситуации. Это означает, что вероятность можно предсказать только в определенных пределах. Кроме того, воздействие, оцененное для определенного риска, также имеет некую неопределенность, поскольку нежелательный инцидент может оказаться ожидаемым. Таким образом, большинство факторов имеют неопределенность в отношении точности связанных с ними прогнозов. Во многих случаях эти неопределенности могут быть значительными. Это в огромной мере затрудняет планирование и обеспечение безопасности.

Все, что может уменьшить связанную с конкретной ситуацией неопределенность, очень важно. Поэтому так важно доверие, которое косвенно снижает риски системы.

Информация о риске, предоставляемая этой областью процессов, зависит от информации об угрозе от РА04, информации об уязвимости от РА05 и информации о воздействии от РА02. Несмотря на то, что действия по сбору информации об угрозах, уязвимостях и воздействиях были сгруппированы в различных частях процесса, они взаимосвязаны. Цель заключается в нахождении комбинаций угрозы, уязвимости и воздействия, которые считаются достаточно рискованными для обоснования принятия мер. Информация о риске формирует основу определения потребности в безопасности в РА10 и входных данных по безопасности, предоставляемых РА09.

Поскольку условия риска подвержены изменениям, они должны периодически контролироваться с тем, чтобы убедиться в поддержании постоянной осведомленности о риске, создаваемом этой областью процессов.

7.3.2 ВР.03.01 - Выбирает метод анализа риска

Выбор методов, технологий и критериев, по которым идентифицируют, анализируют, оценивают и сравнивают риски безопасности для системы в определенной среде и назначают их приоритеты.

7.3.2.1 Описание

Данная практика определяет метод идентификации рисков безопасности для системы в определенной среде способом, который позволяет анализировать, оценивать и сравнивать их. Эта практика должна включать в себя схему категорирования и назначения приоритетов рискам на основе существующих угроз, эксплуатационных функций, установленных уязвимостей системы, потенциальных потерь, требований безопасности или задачных областей процесса.

7.3.2.2 Примеры результатов деятельности:

- метод идентификации риска описывает подход к идентификации риска;

- метод оценки риска описывает подход к анализу и оцениванию рисков;

- форматы оценки риска - описывает формат документирования и отслеживания рисков, включающего их описание, значимость и зависимости.

7.3.2.3 Примечания