Методика оценки угроз безопасности информации (Утверждена ФСТЭК России 5 февраля 2021 г.) - Приложение 2
Приложение 2 к Методике оценки угроз безопасности информации
Рекомендации по формированию
экспертной группы и проведению экспертной оценки при оценке угроз безопасности информации
Качественное формирование экспертной группы способствует снижению субъективных факторов при оценке угроз безопасности информации. Занижение (ослабление) экспертами прогнозов и предположений при оценке угроз может повлечь наступление непрогнозируемого (неожиданного) ущерба в результате их реализации. Завышение экспертами прогнозов и предположений при моделировании угроз безопасности информации может повлечь за собой неоправданные расходы на нейтрализацию (блокирование) угроз, являющихсянеактуальными.
Независимо от результата формирования экспертной группы при оценке угроз безопасности информации существуют субъективные факторы, связанные с психологией принятия решений. Это также может приводить как к занижению (ослаблению), так и к завышению (усилению) экспертами прогнозов и предположений при оценке угроз безопасности информации, что в свою очередь может привести к пропуску отдельных угроз безопасности информации или к неоправданным затратам на нейтрализацию неактуальных угроз.
Любое решение, принимаемое экспертами при оценке угроз безопасности информации, должно исходить из правил, при которых нарушитель находится в наилучших условиях для реализации угрозы безопасности (принципа
«гарантированности»).
а) формирование экспертной группы
В состав экспертной группы для оценки угроз безопасности информации рекомендуется включать экспертов (независимо от того, реализуются ли функции обладателя информации, заказчика и оператора в рамках одной или нескольких организаций) от:
подразделения по защите информации (обеспечения информационной безопасности);
подразделения, ответственного за цифровую трансформацию (ИТ-специалистов);
подразделения, ответственного за эксплуатацию сетей связи; подразделения, ответственного за эксплуатацию автоматизированных
систем управления;
подразделений обладателя информации или оператора, ответственного за выполнение основных (критических) процессов (бизнес-процессов).
Состав экспертов по решению обладателя информации или оператора может быть дополнен или уточнен с учетом особенностей области деятельности, в которой функционируют системы и сети. В частности, для оценки угроз безопасности информации, реализация которых может привести к финансовым рискам, рекомендуется привлекать дополнительно специалистов экономических (финансовых) подразделений обладателя информации или оператора.
Для организации работы экспертной группы рекомендуется определять специалиста по защите информации (обеспечению информационной безопасности), имеющего стаж работ не менее трех лет и практический опыт оценки информационных рисков. В экспертную группу для оценки угроз безопасности информации рекомендуется включать специалистов, имеющих опыт работы не менее одного года по соответствующему направлению деятельности, в котором проводится оценка угроз безопасности информации.
Эксперты должны обладать независимостью, основанной на отсутствии коммерческого и финансового интереса или другого давления, которое может оказать влияние на принимаемые решения. Не рекомендуется формировать экспертную группу из участников, находящихся в прямом подчинении, так как это может негативным образом повлиять на результат определения угроз безопасности информации.
В состав экспертной группы должны входить не менее трех экспертов.
б) проведение экспертной оценки
При проведении экспертной оценки принимаются меры, направленные на снижение уровня субъективности и неопределенности при определении каждой из угроз безопасности информации.
Экспертную оценку рекомендуется проводить в отношении следующих параметров:
а) негативного последствия от реализации угроз безопасности информации;
б) целей нарушителей по реализации угроз безопасности информации;
в) сценария действий нарушителей при реализации угроз безопасности информации.
Оценку параметров рекомендуется проводить опросным методом с составлением анкеты, в которой указываются вопросы и возможные варианты ответа в единой принятой шкале измерений («низкий», «средний», «высокий» или «да», «нет» или иные шкалы). При этом вопросы должны быть четкими и однозначно трактуемыми, предполагать однозначные ответы.
Опрос экспертов включает следующие этапы:
каждый эксперт проводит оценку оцениваемого параметра (рекомендуется не мене двух раундов оценки), результаты которой заносятся в таблицу;
после оценки каждым из экспертов отбрасываются минимальные и максимальные значения;
определяется среднее значение оцениваемого параметра в каждом раунде; определяется итоговое среднее значение оцениваемого параметра.
Пример таблицы результатов оценки параметров
|
Эксперты |
Значение оцениваемого параметра (раунд 1) |
Значение оцениваемого параметра (раунд 2) |
|
Эксперт 1 |
|
|
|
Эксперт 2 |
|
|
|
Эксперт n |
|
|
|
Итоговое значение |
|
|