1.2 Категорирование
Существуют три основных аспекта ИБ:
– доступность;
– конфиденциальность;
– целостность.
Вообще говоря, нарушения ИБ могут затрагивать лишь часть этих аспектов, равно как и регуляторы безопасности могут быть специфичны для отдельных аспектов. Поэтому целесообразно оценивать возможный ущерб отдельно для нарушений доступности, конфиденциальности и целостности, а при необходимости можно получить интегральную оценку.
Размер ущерба удобно оценивать по трехуровневой шкале как низкий, умеренный или высокий (Рис.2).
Рисунок 2. Шкала оценки ущерба при нарушении информационной безопасности
Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:
– организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;
– активам организации наносится незначительный ущерб;
– организация несет незначительные финансовые потери;
– персоналу наносится незначительный вред.
Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:
– компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;
– активам организации причиняется значительный ущерб;
– компания несет значительные финансовые потери;
– персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.
Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:
– компания теряет способность выполнять все или некоторые из своих основных функций;
– активам организации причиняется крупный ущерб;
– организация несет крупные финансовые потери;
– персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.
Необходимо также подсчитать возможные собственные потери (в виде неполученной прибыли) и выгоды конкурентов (полученную ими прибыль) при реализации угроз затрагивающих конкретную категорию информации.
Далее при определении возможных угроз и оценки вероятности осуществления каждой из них несложно подсчитать оптимальный бюджет на защиту информации.
Yandex.RTB R-A-252273-3- Введение
- Глава 1. Подготовительные этапы в разработке политики ИБ
- 1.1 Комплексный подход
- 1.2 Категорирование
- 1.3 Управление рисками
- 1.4 Рекомендации по осуществлению контроля со стороны органов управления за организацией деятельности кредитной организации
- 1.5 Система органов внутреннего контроля
- Глава 2. Создание политики
- 2.1 Рекомендации по созданию политики ИБ
- 6.2. Разработка политики информационной безопасности
- Политика информационной безопасности
- 3.2 Государственная политика информационной безопасности
- 1.8.3. Разработка политики информационной безопасности
- Разработка политики информационной безопасности
- Разработка политики информационной безопасности
- 71. Разработка политики информационной безопасности
- 1.8.3. Разработка политики информационной безопасности