4.1. Информационные активы организации БС РФ рассматриваются в совокупности с соответствующими им объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды.
4.2. Угрозы ИБ реализуются их источниками (источниками угроз ИБ), которые могут воздействовать на объекты среды информационных активов организации БС РФ. В случае успешной реализации угрозы ИБ информационные активы теряют часть или все свойства ИБ.
4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:
- полный перечень типов информационных активов, входящих в область оценки;
- полный перечень типов объектов среды, соответствующих каждому из типов информационных активов области оценки;
- модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в организации БС РФ типов объектов среды на всех уровнях иерархии информационной инфраструктуры организации БС РФ.
Формирование перечня источников угроз и моделей угроз рекомендуется проводить с учетом положений СТО БР ИББС-1.0, а также перечня основных источников угроз ИБ, приведенных в приложении 1.
4.4. Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов. Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ, в том числе нормативных актов Банка России.
В качестве примера используется следующий перечень типов информационных активов в организации БС РФ:
- информация ограниченного доступа:
- информация, содержащая сведения, составляющие банковскую тайну:
- платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций);
- информация, содержащая сведения, составляющие коммерческую тайну;
- персональные данные;
- управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);
- открытая (общедоступная) информация.
В конкретной организации БС РФ указанный перечень может быть изменен в соответствии с принятыми в ней подходами к классификации информационных активов и уровнем детализации типов информационных активов при проведении оценки рисков нарушения ИБ.
4.5. Формирование перечней типов объектов среды выполняется в соответствии с иерархией уровней информационной инфраструктуры организации БС РФ, определенной в СТО БР ИББС-1.0. В частности, указанные перечни могут содержать следующие типы объектов среды:
- линии связи и сети передачи данных;
- сетевые программные и аппаратные средства, в том числе сетевые серверы;
- файлы данных, базы данных, хранилища данных;
- носители информации, в том числе бумажные носители;
- прикладные и общесистемные программные средства;
- программно-технические компоненты автоматизированных систем;
- помещения, здания, сооружения;
- платежные и информационные технологические процессы.
4.6. Риск нарушения ИБ определяется на основании качественных оценок:
- степени возможности реализации угроз ИБ (далее - СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов;