вторник, 1 марта 2011 г.

Оценка защищенности ИСПДн по ФСТЭК (часть 2)

Методика оценки актуальных угроз ИБ является классическим подходом к оценки рисков ИБ. Включает следующие основные этапы:
1. Оценка исходного уровня защищенности ИСПДн (мое мнение в части 1).
2. Оценка частоты (вероятности) реализации угроз для ИСПДн.
3. Оценка опасности каждой угрозы для ИСПДн.
4. Оценка актуальности угроз для ИСПДн.
5. Формирование требований по обеспечению безопасности ПДн в ИСПДн.

Подход типовой, комментировать особо нечего, за исключением некоторых тонкостей:
1. Частота и вероятность разные понятия и с этим сложно спорить, но раз уж ввели такую замену, то будем ее придерживаться, но я бы оставил "вероятность", так как частота - это количество угроз в интервале времени, т.е. 5 угроз за 1 месяц.
2. Извечный вопрос: "Как оценить ценность активов?/Как оценить опасность угроз?". На этот вопрос ответа в методике нет, так как вознакает сразу масса вопросов: Что означает негативное последствие для субъекта ПДн - это 100, 1000, 1000000 руб. или это репутация?!  Как рассчитать для субъекта ПДн такую величину!?
3. Две из четырех книжек ФСТЭк России были отменены, но ссылки на них в методике остались. Не успевают вносить изменения :(.