Управление рисками обзор употребительных подходов
       

Возможный формат отчета об оценке рисков


Отчет об оценке рисков может иметь следующий формат.

  • Краткое содержание.
  • Введение.

  • Цель.
  • Область охвата оценки рисков. Описываются компоненты информационной системы, ее пользователи, расположение удаленных производственных площадок (при наличии таковых) и т.п.
  • Подход к оценке рисков. Кратко описывается выбранный подход к оценке рисков, в том числе:
  • состав группы, оценивающей риски;
  • методы сбора информации (вопросники, инструментальные средства и т.п.);
  • описание применяемой шкалы рисков.
  • Характеристика системы. Описывается система, включая аппаратуру (серверы, активное сетевое оборудование и т.д.), программное обеспечение (приложения, базовое ПО, протоколы), системные интерфейсы (коммуникационные каналы), данные, пользователи. Приводится диаграмма связности, входные и выходные потоки данных.
  • Перечень уязвимостей. Составляется список потенциальных уязвимостей, возможно, присутствующих в оцениваемой системе.
  • Перечень источников угроз. Составляется список потенциальных источников угроз, актуальных для оцениваемой системы.
  • Результаты оценки рисков. Приводится перечень выявленных рисков (пар уязвимость/угроза). Каждый элемент данного перечня должен включать:

    • номер и краткое описание (например: 1. Пользовательские пароли могут быть угаданы или подобраны);
    • обсуждение пары уязвимость/угроза;
    • набор существующих регуляторов безопасности, уменьшающих риск;
    • обсуждение вероятности реализации угрозы и ее оценка (высокая, умеренная, низкая);
    • анализ воздействия, его оценка (высокое, умеренное, низкое);
    • оценка (рейтинг) рисков (высокий, умеренный, низкий);
    • рекомендуемые регуляторы безопасности или иные способы снижения рисков.
  • Выводы. Приводится сводка рисков и их уровней, рекомендации и комментарии, разъясняющие реализацию рекомендованных контрмер в процессе нейтрализации рисков.



    • Содержание раздела