Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".
ПРИМЕРНАЯ ФОРМА
ДОКУМЕНТИРОВАНИЯ ДАННЫХ И РЕЗУЛЬТАТОВ ОЦЕНКИ СВР УГРОЗ ИБ
На примере заполнения:
тип информационного актива - "ДСП информация";
свойство ИБ - "Конфиденциальность";
способ реализации угрозы - "Несанкционированное копирование";
тип объекта среды - "Файлы данных с ДСП информацией";
источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".
------------------------------------------------------------------------------------------------------------------------------------
| Тип |Тип объекта | Источник | Свойства ИБ | Способ | Используемые | Прочие данные,|Оценка СВР |
|информационного| среды |угрозы ИБ | типа | реализации | априорные | определяющие | угроз ИБ |
| актива | | | информационного | угроз ИБ | защитные меры | СВР угроз ИБ | |
| | | | актива | <*> | | | |
|---------------|------------|----------|-------------------|----------------------|-------------------|---------------|-----------|
|"ДСП |Файлы данных|Внутренний| Конфиденциальность| Несанкционированное | Проведение | Пользователь, | высокая |
|информация" |с "ДСП |нарушитель| | копирование | кадровой работы. | имеющий право | |
| |информацией"| | | | Мониторинг и | доступа к | |
| | | | | | протоколирование | файлам данных | |
| | | | | | доступа к файлам | имеет | |
| | | | | | данных. | возможность | |
| | | | | | Использование | совершить | |
| | | | | | антивирусной | противоправное| |
| | | | | | защиты | действие | |
| | |----------|-------------------|----------------------|-------------------|---------------|-----------|
| | | ... | | | | | |
| | |----------|-------------------|----------------------|-------------------|---------------|-----------|
| | |Внешний | Конфиденциальность| Несанкционированное | Контроль и | Нет данных |минимальная|
| | |нарушитель| | копирование | протоколирование | | |
| | | | | | доступа к файлам | | |
| | | | | | данных. | | |
| | | | | | Организация | | |
| | | | | | физической | | |
| | | | | | защиты зданий и | | |
| | | | | | помещений. | | |
| | | | | | Использование | | |
| | | | | | антивирусной | | |
| | | | | | защиты | | |
------------------------------------------------------------------------------------------------------------------------------------
--------------------------------
<*> Степень детализации и порядок группировки для рассмотрения
способов реализации угроз ИБ определяется организацией БС РФ.
Примечание.
В ячейках "Оценка СВР угроз ИБ" требуется указать значение из
следующего перечня: нереализуемая; минимальная; средняя; высокая;
критическая.
Приложение 5
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".