РС БР ИББС-2.2-2009 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности
Таблица 3. Рекомендуемая шкала соответствия СТП нарушения ИБ и СТП
нарушения ИБ
Величина СТП нарушения ИБ | Величина СТП |
Минимальная | До 0,5% от величины капитала организации БС РФ |
Средняя | От 0,5 до 1,5% от величины капитала организации БС РФ |
Высокая | От 1,5 до 3,0% от величины капитала организации БС РФ |
Критическая | Более 3,0% от величины капитала организации БС РФ |
6.5. Данные, на основании которых проводится оценка СТП нарушения ИБ, и ее результаты документируются, для чего рекомендуется использовать примерную форму документирования данных и результатов оценки СТП
нарушения ИБ, приведенную в приложении 8.
6.6. Количественные оценки рисков нарушения ИБ вычисляются для всех свойств ИБ выделенных типов информационных активов и всех соответствующих им комбинаций объектов среды и воздействующих на них источников угроз путем перемножения оценок СВР угроз ИБ и СТП
нарушения ИБ.
6.7. Результаты количественной оценки рисков нарушения ИБ документально фиксируются, для чего рекомендуется использовать примерную форму, приведенную в приложении 9.
6.8. Суммарная количественная оценка риска нарушения ИБ организации БС РФ вычисляется как сумма количественных оценок по всем отдельным рискам нарушения ИБ. Размер резерва на возможные потери, связанные с инцидентами ИБ, рекомендуется принимать равным суммарной количественной оценке риска нарушения ИБ.