Положение об определении требований по категорированию ресурсов ас
5.5. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.
Таблица 3
Определение категории АРМ |
||
Категория |
Категории решаемых на АРМ задач |
|
АРМ |
Максимальная |
Минимальная |
«A» |
1 |
2 |
«B» |
2 |
3 |
«C» |
3 |
4 |
«D» |
4 |
4 |
На первом этапе работ по категорированию ресурсов конкретного АРМ производится категорирование всех видов информации, используемой при решении задач на данном АРМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".
На втором этапе, с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном АРМ.
На третьем этапе, устанавливается категория АРМ, исходя из максимальной категории задач, решаемых на нем.
На четвертом этапе, на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных АРМ).
Определение уровня риска
Цель этого шага – оценить уровень риска ИС. Определение риска (R) для отдельной пары угроза(T)/уязвимость(V) может быть выражено функцией:
- Вероятность (P) данного источника угрозы пытающегося реализовать отдельную уязвимость
- Величина влияния (I) успешной реализации уязвимости источником угрозы
- Адекватности планируемых или существующих мер безопасности (M) для снижения или устранения риска.
;
Для измерения риска, необходимо выработать шкалу риска и матрицу уровней риска. Секция 3.7.1 предлагает стандартную матрицу уровней риска; Секция 3.7.2 описывает результирующий уровень риска.
Матрица уровня риска
Окончательное определение риска осуществляется путем объединения рейтингов полученных для вероятности угрозы и влияния угрозы. Таблица 3-7 ниже показывает, как может быть определен уровень риска, основываясь на вероятности и влияния угрозы. Матрица ниже – 3х3 матрица риска, зависящая от вероятности угрозы (Высокая, Средняя и Низкая) и влияния угрозы (Высокое, Среднее и Низкое). В зависимости от конкретных требований и желаемой детализации оценки риска, можно использовать матрицу 4х4 или 5х5. Последняя, например, может включать «Очень Низкая»/«Очень Высокая» вероятности угрозы и «Очень Низкое»/«Очень Высокое» влияния угрозы для определения новых уровней риска: «Очень Низкого»/«Очень Высокого». «Очень Высокий» уровень риска может, например, привести к отключению или остановки внедрения системы и приведет к необходимости тестирования всех ИС.
Пример матрицы в Таблице показывает, как можно получить уровень риска Высокий, Средний и Низкий. Определение этих уровней риска или рейтингов может быть субъективным. Необходимость этого может быть объяснена в терминах вероятности, назначенной для каждого уровня вероятности угрозы, и значения, назначенного для каждого уровня влияния. Для примера,
- Вероятность, назначенная для каждого уровня угроз: 1.0 – Высокая, 0.5 – Средняя, 0.1 – Низкая;
- Значения, назначенные для каждого уровня влияния: 100 – Высокое, 50 – Среднее, 10 – Низкое.
Таблица Матрица уровня риска
Вероятность угрозы |
Влияние |
||
Низкое (10) |
Среднее (50) |
Высокое (100) |
|
Высокая (1.0) |
Низкий 10 Х 1.0 = 10 |
Средний 50 Х 1.0 = 50 |
Высокий 100 Х 1.0 = 100 |
Средняя (0.5) |
Низкий 10 Х 0.5 = 5 |
Средний 50 Х 0.5 = 25 |
Средний 100 Х 0.5 = 50 |
Низкая (0.1) |
Низкий 10 Х 0.1 = 1 |
Низкий 50 Х 0.1 = 5 |
Низкий 100 Х 0.1 = 10 |
Шкала риска: Высокий (>50 до 100); Средний (>10 до 50); Низкий (1 до 10)[2]