Недействующий

СТО БР ИББС-1.0-2010 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения (утратил силу с 01.06.2014 на основании распоряжения Банка России от 17.05.2014 N Р-399)

8.4. Требования к выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности

8.4.1. В организации БС РФ должна быть принята/корректироваться методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.

8.4.2. В организации БС РФ должны быть определены критерии принятия рисков нарушения ИБ и уровень допустимого риска нарушения ИБ.

8.4.3. Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ организации БС РФ должна определять способ и порядок качественного или количественного оценивания риска нарушения ИБ на основании оценивания:

- степени возможности реализации угроз ИБ выявленными и (или) предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и нарушителя в результате их воздействия на объекты среды информационных активов организации БС РФ (типов информационных активов);

- степени тяжести последствий от потери свойств ИБ, в частности, свойств доступности, целостности и конфиденциальности, для рассматриваемых информационных активов (типов информационных активов).

Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры оценки рисков нарушения ИБ, а также последовательность их выполнения.

8.4.4. Оценка рисков нарушения ИБ проводится для свойств ИБ всех информационных активов (типов информационных активов) области действия СОИБ.

8.4.5. В организации БС РФ рекомендуется создать и поддерживать в актуальном состоянии единый информационный ресурс (базу данных), содержащий информацию об инцидентах ИБ.

8.4.6. Полученные в результате оценивания рисков нарушения ИБ величины рисков должны быть соотнесены с уровнем допустимого риска, принятого в организации БС РФ. Результатом выполнения указанной процедуры является документально оформленный перечень недопустимых рисков нарушения ИБ.

8.4.7. В организации БС РФ должны быть документально определены роли, связанные с деятельностью по определению/коррекции методики оценки рисков нарушения ИБ / подхода к оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.

8.4.8. В организации БС РФ должны быть документально определены роли по оценке рисков нарушения ИБ и назначены ответственные за выполнение указанных ролей.