Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".
6. Оценка рисков нарушения ИБ в количественной
(денежной) форме
6.1. Риски нарушения ИБ могут быть оценены в количественной
(денежной) форме. Оценка рисков нарушения ИБ в количественной форме
проводится с целью формирования резервов на возможные потери,
связанные с инцидентами ИБ, и определяется на основании количественных
оценок:
- СВР угроз ИБ, выраженной в количественной форме (процентах)
(далее - СВР угроз ИБ);
кол
- СТП нарушения ИБ, выраженной в количественной (денежной) форме
(далее - СТП нарушения ИБ).
кол
6.2. Оценки СВР угроз ИБ формируются экспертно путем перевода
кол
качественных оценок СВР угроз ИБ, полученных в рамках выполнения
процедуры 4, в количественную форму в соответствии со следующей
рекомендуемой шкалой:
Таблица 2.
Рекомендуемая шкала соответствия СВР угроз ИБ и СВР угроз ИБ
кол
---------------------------------------------------------------------------
| Величина СВР угроз ИБ | Величина СВР угроз ИБ |
| | кол |
|----------------------------------|--------------------------------------|
| Нереализуемая | 0% |
|----------------------------------|--------------------------------------|
| Минимальная | От 1 до 20% |
|----------------------------------|--------------------------------------|
| Средняя | От 21 до 50% |
|----------------------------------|--------------------------------------|
| Высокая | От 51 до 100% |
|----------------------------------|--------------------------------------|
| Критическая | 100% |
---------------------------------------------------------------------------
6.3. Данные, на основании которых проводится оценка СВР угроз
кол
ИБ, и ее результаты документируются, для чего рекомендуется
использовать примерную форму документирования данных и результатов
оценки СВР угроз ИБ, приведенную в приложении 7.
кол
6.4. Оценки СТП нарушения ИБ формируются экспертно путем
кол
перевода качественных оценок СТП нарушения ИБ, полученных в рамках
выполнения процедуры 5, в количественную форму в соответствии со
следующей рекомендуемой шкалой:
Таблица 3.
Рекомендуемая шкала соответствия СТП нарушения ИБ и СТП
кол
нарушения ИБ
---------------------------------------------------------------------------
| Величина СТП | Величина СТП нарушения ИБ |
| нарушения ИБ | кол |
|-----------------|-------------------------------------------------------|
| Минимальная | До 0,5% от величины капитала организации БС РФ |
|-----------------|-------------------------------------------------------|
| Средняя | От 0,5 до 1,5% от величины капитала организации БС РФ |
|-----------------|-------------------------------------------------------|
| Высокая | От 1,5 до 3,0% от величины капитала организации БС РФ |
|-----------------|-------------------------------------------------------|
| Критическая | Более 3,0% от величины капитала организации БС РФ |
---------------------------------------------------------------------------
6.5. Данные, на основании которых проводится оценка СТП
кол
нарушения ИБ, и ее результаты документируются, для чего рекомендуется
использовать примерную форму документирования данных и результатов
оценки СТП нарушения ИБ, приведенную в приложении 8.
кол
6.6. Количественные оценки рисков нарушения ИБ вычисляются для
всех свойств ИБ выделенных типов информационных активов и всех
соответствующих им комбинаций объектов среды и воздействующих на них
источников угроз путем перемножения оценок СВР угроз ИБ и
кол
СТП нарушения ИБ.
кол
6.7. Результаты количественной оценки рисков нарушения ИБ
документально фиксируются, для чего рекомендуется использовать
примерную форму, приведенную в приложении 9.
6.8. Суммарная количественная оценка риска нарушения ИБ
организации БС РФ вычисляется как сумма количественных оценок по всем
отдельным рискам нарушения ИБ. Размер резерва на возможные потери,
связанные с инцидентами ИБ, рекомендуется принимать равным суммарной
количественной оценке риска нарушения ИБ.
Приложение 1
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. МЕТОДИКА ОЦЕНКИ РИСКОВ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ".