Академический Документы
Профессиональный Документы
Культура Документы
Несмотря на то, что в рам- номочиями, в данном случае, рисков ИБ: «идентификация
ках требований ISO 27001:2013 речь может идти о руководи- риска, анализ последствий ре-
не рассматриваются явные телях, специалистах по инфор- ализации рисков ИБ, оценка
формулы для расчета рисков, мационной защите, отделах по эффективности существующих
исходя из данных документа ИБ и пр.; [8] средств управления, количес-
можно выделить следующее: – в процессе анализа рисков твенная оценка уровня рис-
– в процессе оценки рис- ИБ должна быть произведена ков ИБ, сравнительная оценка
ков должны быть установлены оценка потенциальных потерь рисков ИБ, качественная, ко-
критерии приемлемости риска в случае реализации риска; личественная или смешанная
и критерии для оценки рисков – должна быть оценена ве- оценка вероятностных харак-
ИБ; роятность реализации рисков теристик риска».
– должны быть даны гаран- и определена величина рисков; Выбор метода оценки рис-
тии того, что оценка рисков – в процессе оценки рисков ков ИБ должен основываться
ИБ даст обоснованные и не- ИБ должно быть произведено на следующих факторах:
противоречивые массивы акту- сопоставление рисков с уста- – временные, финансовые,
альных, для рассматриваемой новленными критериями, а информационные ресурсы;
системы, рисков ИБ; также определен вектор при- – степень неопределеннос-
– должна быть произведе- оритетных направлений по их ти оценки рисков ИБ;
на идентификация рисков ИБ, обработке. [9] – наличие либо отсутствие
направленных на такие свойс- Стандарт ISO 27001:2013 су- возможности получение коли-
тва информационных ресур- щественно урезан, в отличие от чественных оценок выходных
сов, как конфиденциальность, стандарта ISO 27001:2005, где денных, где выходными дан-
целостность и доступность; процесс оценки рисков был до- ными могут являться мнения,
– а также, должна произ- статочно подробно рассмотрен, решения, перечни, а также ре-
водиться идентификация вла- и включал в себя такие этапы, комендации, в зависимости от
дельца риска, где под владель- как идентификация уязвимос- метода и этапа оценки рисков
цем понимается физическое, тей и идентификация активов ИБ. [12]
юридическое лицо или подраз- и их владельцев. [10–11] На практике, расчет рисков
деление, отвечающее за управ- Исходя из ГОСТ Р ИСО необходимо начинать с доку-
ление риском и обладающее 31000-2010, существует мно- мента «Методология оценки
необходимыми для этого пол- жество методов по оценке и обработки рисков», который
Идентификатор актива
Конфиденциальность
веденных в соответствии с ме-
Ценность актива
тодикой должен стать отчет с
Целостность
Доступность
суммарными результатами всех
мероприятий по оценке степе- Актив организации
ни рисков и их обработке.
В данном случае рассматри-
вается корпоративная распре-
деленная многопользователь- A. Информация, необходимую для реализа-
ская информационная система 2 4 4 4
ции назначения или бизнеса организации
(далее – ИС), имеющая под- B. Информация личного характера, которая
ключение к сетям общего определена особым образом, соответству-
3 1 1 3
пользования, обрабатывающая Основные ющим национальным законам о непри-
активы косновенности частной жизни
информацию разного уровня
C. Информация Стратегическая информация, необходи-
конфиденциальности, не со- мая для достижения целей организации
2 2 1 2
держащую сведения, составля-
D. Информацию, обработка которой требуют
ющие государственную тайну. продолжительного времени и/или связаны 3 2 2 3
В соответствии с ГОСТ Р с большими затратами на ее приобретение
ИСО/МЭК 27005-2010 «Ин- E. Аппаратно-программный комплекс – 3 4 4
формационная технология. F. Носители информации – 1 2 2
Методы и средства обеспече- G. Сеть – 3 4 4
ния безопасности. Менедж- H. Сотрудники – 1 1 1
мент риска информационной I. Место функционирования организации – 1 1 1
безопасности» ценные активы
организации условно можно
разделить на основные и вспо- включающая в себя активную ганизации, информацию лич-
могательные. аппаратуру обработки данных, ного характера, которая оп-
Основные активы: стационарную аппаратуру, пе- ределена особым образом,
1. Бизнес-процессы – со- риферийные обрабатывающие соответствующую националь-
вокупность различных видов устройства, операционные ным законам о неприкос-
деятельности, в результате ко- системы и прикладное про- новенности частной жизни,
торой создается продукт или граммное обеспечение. стратегическую информацию,
услуга, представляющие инте- 2. Носители данных – но- необходимую для достижения
рес для потребителя. ситель для хранения данных, целей организации, информа-
2. Информация – сведения, включая электронный носи- цию, обработка которой требу-
являющиеся предметом собс- тель и аналоговый. ют продолжительного времени
твенности, подлежащие защите 3. Сеть – совокупность теле- и/или связаны с большими за-
от нарушения конфиденциаль- коммуникационных устройств, тратами на ее приобретение».
ности, целостности и доступ- используемых для соединения Первоначально необходимо
ности, в соответствии с требо- нескольких физически удален- определить ценность активов
ваниями правовых документов ных сегментов информацион- (далее – ЦН) организации, в
и требованиями владельца ин- ной системы. данном случае будет рассмот-
формации, вне зависимости от 4. Персонал – в широком рена четырехбалльная система
формы представления. Сведе- смысле, все субъекты, имею- оценки ценности активов:
ния, компрометация которых щие легитимный доступ в пре- 1 – реализация риска, на-
никаким образом не повлияет делы контролируемой зоны и правленного на конфиденци-
на деятельность организации, являющиеся потенциальными альность, целостность и/или
не рассматриваются как цен- внутренними нарушителями. доступность актива не будет
ный актив. 5. Место функционирова- иметь последствий, как для ор-
Вспомогательные активы: ния организации – пределы ганизации в целом, так и биз-
1. Аппаратно-программный контролируемой зоны, в кото- нес-процессов, в частности.
комплекс – совокупность рой функционирует информа- 2 – реализация риска, на-
технических и программных ционная система. правленного на конфиденци-
средств, предназначенных для ГОСТ Р ИСО/МЭК 27005- альность, целостность и/или
выполнения взаимосвязанных 2010 условно разделяет ин- доступность актива приведет к
эксплуатационных функций формацию на: «информацию, незначительным потерям для
по обработке информации ог- необходимую для реализации организации, в условиях, когда
раниченного распространения, назначения или бизнеса ор- восстановление прежнего со-
113
121
014
122
139
018
022
023
140
143
155
156
157
158
160
030
034
036
091
170
172
182
186
189
Вероятность
2 1 2 3 1 2 2 4 2 2 2 3 2 2 2 4 3 3 3 2 2 3 3 2
Литература References
1. Некрылова Н.В. Предпосылки реализации 1. Nekrylova N.V. Predposylki realizatsii elemen-
элементов управления рисками бизнес-процес- tov upravleniya riskami biznes-protsessov v standarta-
сов в стандартах на системы менеджмента про- kh na sistemy menedzhmenta promyshlennogo pred-
мышленного предприятия // Известия высших priyatiya. Izvestiya vysshikh uchebnykh zavedeniy.
учебных заведений. Поволжский регион. Обще- Povolzhskiy region. Obshchestvennye nauki. 2015.
ственные науки. 2015. № 2 (34). C. 204–215. No. 2 (34). C. 204–215. (In Russ.)
2. Андреева Н.В. Функциональная модель 2. Andreeva N.V. Funktsional’naya model’ sis-
системы управления информационной безо- temy upravleniya informatsionnoy bezopasnost’yu
пасностью как средство внедрения стандартов kak sredstvo vnedreniya standartov lineyki ISO/
линейки ISO/IEC 2700x (BS 7799) // Научно- IEC 2700x (BS 7799). Nauchno-tekhnicheskiy
технический вестник информационных техно- vestnik informatsionnykh tekhnologiy, mekhaniki i
логий, механики и оптики. 2007. № 39. С. 40–44. optiki. 2007. No. 39. P. 40–44. (In Russ.)
3. Пугин В.В., Губарева О.Ю. Обзор методик 3. Pugin V.V., Gubareva O.Yu. Obzor me-
анализа рисков информационной безопаснос- todik analiza riskov informatsionnoy bezopas-
ти информационной системы предприятия // nosti informatsionnoy sistemy predpriyatiya.
T-Comm – Телекоммуникации и Транспорт. T-Comm – Telekommunikatsii i Transport. 2012.
2012. № 6. С. 54–57. No. 6. P. 54–57. (In Russ.)
4. Плетнев П.В., Белов В.М. Методика оцен- 4. Pletnev P.V., Belov V.M. Metodika otsenki
ки рисков информационной безопасности на riskov informatsionnoy bezopasnosti na predpriya-
предприятиях малого и среднего бизнеса // До- tiyakh malogo i srednego biznesa. Doklady Tom-
клады Томского государственного университета skogo gosudarstvennogo universiteta sistem up-
систем управления и радиоэлектроники. 2012. ravleniya i radioelektroniki. 2012. No. 1–2 (25).
№ 1–2 (25). С. 83–86. P. 83–86. (In Russ.)
5. Одинцова М.А. Методика управления рис- 5. Odintsova M.A. Metodika upravleniya
ками для малого и среднего бизнеса. // Эконо- riskami dlya malogo i srednego biznesa.. Ekonom-
мический журнал. 2014. № 3 (35). URL: https:// icheskiy zhurnal. 2014. No. 3 (35). URL: https://
cyberleninka.ru/article/n/metodika-upravleniya- cyberleninka.ru/article/n/metodika-upravleniya-
riskami-dlya-malogo-i-srednego-biznesa (дата об- riskami-dlya-malogo-i-srednego-biznesa (accessed:
ращения: 01.02.2018). 01.02.2018). (In Russ.)
6. Глушенко С.А. Применение системы 6. Glushenko S.A. Primenenie sistemy Matlab
Matlab для оценки рисков информационной бе- dlya otsenki riskov informatsionnoy bezopasnosti
зопасности организации // Бизнес-информати- organizatsii. Biznes-informatika. 2013. No. 4 (26).
ка. 2013. № 4 (26). С. 35–42. P. 35–42. (In Russ.)
7. Губарева О.Ю. Оценка рисков информа- 7. Gubareva O.Yu. Otsenka riskov informat-
ционной безопасности в телекоммуникацион- sionnoy bezopasnosti v telekommunikatsionnykh
ных сетях. // Вестник Волжского университета setyakh. Vestnik Volzhskogo universiteta im. V.N.
им. В.Н. Татищева. 2013. № 2 (21). С. 76–81. Tatishcheva. 2013. No. 2 (21). P. 76–81. (In Russ.)
8. Дорофеев А.В. Менеджмент инфор- 8. Dorofeev A.V. Menedzhment informatsion-
мационной безопасности: переход на ISO noy bezopasnosti: perekhod na ISO 27001:2013.
27001:2013 // Вопросы кибербезопасности. 2014. Voprosy kiberbezopasnosti. 2014. No. 3 (4). P.
№ 3 (4). С. 69–73. 69–73. (In Russ.)
9. ISO/IEC 27001:2013. Information 9. ISO/IEC 27001:2013. Information technolo-
technology. Security techniques. Information gy. Security techniques. Information security man-
security management systems. Requirements. Berlin: agement systems. Requirements. Berlin: ISO/IEC
ISO/IEC JTC 1/SC 27. 2013. 23 p. JTC 1/SC 27. 2013. 23 p.
10. Дорофеев А.В. Подготовка к CISSP: теле- 10. Dorofeev A.V. Podgotovka k CISSP: tele-
коммуникации и сетевая безопасность // Вопро- kommunikatsii i setevaya bezopasnost’. Voprosy kib-
сы кибербезопасности. 2014. № 4 (7). С. 69–74. erbezopasnosti. 2014. No. 4 (7). P. 69–74. (In Russ.)
11. Ильченко Л.М. Анализ системы менедж- 11. Il’chenko L.M. Analiz sistemy menedzh-
мента информационной безопасности на базе menta informatsionnoy bezopasnosti na baze
стандарта ISO 27001:2013. // Материалы 5 на- standarta ISO 27001:2013.. Materialy 5 nauchno-
учно-практической конференции студентов, prakticheskoy konferentsii studentov, aspirantov i
аспирантов и курсантов «IT вчера, сегодня, за- kursantov «IT vchera, segodnya, zavtra». 2017. P.
втра». 2017. С. 51–61. 51–61. (In Russ.)
12. ГОСТ Р ИСО 31000-2010. Менеджмент рис- 12. GOST R ISO 31000-2010. Menedzhment
ка. Принципы и руководство.; Введен с 01.09.2011. riska. Printsipy i rukovodstvo.; Vveden s 01.09.2011.
Москва: Изд-во Стандартинформ, 2012. Moscow: Izd-vo Standartinform, 2012. (In Russ.)
13. ГОСТ Р ИСО/МЭК 27005-2010. Ин- 13. GOST R ISO/MEK 27005-2010. Infor-
формационная технология. Методы и средства matsionnaya tekhnologiya. Metody i sredstva
обеспечения безопасности. Менеджмент риска obespecheniya bezopasnosti. Menedzhment riska
информационной безопасности. Взамен ГОСТ informatsionnoy bezopasnosti. Vzamen GOST R
Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/ ISO/MEK TO 13335-3-2007 i GOST R ISO/MEK
МЭК ТО 13335-4-2007; Введ. с 30.11.2010. Мос- TO 13335-4-2007; Vved. s 30.11.2010. Moskva:
ква: Изд-во Стандартинформ, 2011. Izd-vo Standartinform, 2011. (In Russ.)
14. Банк данных угроз безопасности инфор- 14. Bank dannykh ugroz bezopasnosti infor-
мации // Федеральная служба по техническому matsii. Federal’naya sluzhba po tekhnicheskomu i
и экспортному контролю URL: https://bdu.fstec. eksportnomu kontrolyu URL: https://bdu.fstec.ru
ru (дата обращения: 01.02.2018). (accessed: 01.02.2018). (In Russ.)
15. Шаго Ф.Н., Зикратов И.А. Методика оп- 15. Shago F.N., Zikratov I.A. Metodika op-
тимизации планирования аудита системы ме- timizatsii planirovaniya audita sistemy menedzh-
неджмента информационной безопасности // menta informatsionnoy bezopasnosti. Nauchno-
Научно-технический вестник информационных tekhnicheskiy vestnik informatsionnykh tekhnologiy,
технологий, механики и оптики. 2014. № 2 (90). mekhaniki i optiki. 2014. No. 2 (90). P. 111–117.
С. 111–117. (In Russ.)
16. Выборнова О.Н., Давидюк Н.В., Крав- 16. Vybornova O.N., Davidyuk N.V.,
ченко К.Л. Оценка информационных рисков Kravchenko K.L. Otsenka informatsionnykh risk-
на основе экспертной информации (на приме- ov na osnove ekspertnoy informatsii (na primere
ре ГБУЗ АО «Центр медицинской профилакти- GBUZ AO «Tsentr meditsinskoy profilaktiki»). In-
ки») // Инженерный вестник Дона. 2016. № 4 zhenernyy vestnik Dona. 2016. No. 4 (43). P. 86.
(43). С. 86. (In Russ.)
17. Пащенко И.Н., Васильев В.И. Разработ- 17. Pashchenko I.N., Vasil’ev V.I. Razrabot-
ка требований к системе защиты информации ka trebovaniy k sisteme zashchity informatsii v
в интеллектуальной сети Smart Grid на основе intellektual’noy seti Smart Grid na osnove stand-
стандартов ISO/IEC 27001 и 27005 // Известия artov ISO/IEC 27001 i 27005. Izvestiya YuFU.
ЮФУ. Технические науки. 2013. № 12 (149). Tekhnicheskie nauki. 2013. No. 12 (149). P. 117–
С. 117–126. 126. (In Russ.)
18. ГОСТ Р ИСО/МЭК 31010-2011. Ме- 18. GOST R ISO/MEK 31010-2011. Menedzh-
неджмент риска. Методы оценки риска; Введ. с ment riska. Metody otsenki riska; Vved. s 01.12.2012.
01.12.2012. Москва: Изд-во Стандартинформ; 2012. Moskva: Izd-vo Standartinform; 2012. (In Russ.)
19. Эмануэль А.В., Иванов Г.А., Гейне М.Д. 19. Emanuel’ A.V., Ivanov G.A., Geyne M.D.
Применение менеджмента рисков на основе Primenenie menedzhmenta riskov na osnove stand-
стандарта ИСО 14971: методические подходы // arta ISO 14971: metodicheskie podkhody. Vestnik
Вестник Росздравнадзора. 2013. № 3. С. 45–60. Roszdravnadzora. 2013. No. 3. P. 45–60. (In Russ.)
20. Лютова И.И. Моделирование уровня 20. Lyutova I.I. Modelirovanie urovnya priem-
приемлемого риска информационной безопас- lemogo riska informatsionnoy bezopasnosti. Vestnik
ности // Вестник Адыгейского государствен- Adygeyskogo gosudarstvennogo universiteta. Series
ного университета. Серия 5: Экономика. 2014. 5: Ekonomika. 2014. No. 2 (141). P. 175–180 (In
№ 2 (141). С. 175–180. Russ.)