"НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК ТО 18044-2007" (утв. Приказом Ростехрегулирования от 27.12.2007 N 513-ст)
Приложение В. ПРИМЕРЫ ОБЩИХ РЕКОМЕНДАЦИЙ ПО ОЦЕНКЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В.1 Введение
В настоящем приложении представлены примерные рекомендации по оценке и категорированию негативных последствий инцидентов ИБ, где каждая рекомендация имеет шкалу от 1 до 10 (1 - низкий, 10 - высокий). (На практике могут использоваться другие шкалы, например, с градацией от 1 до 5. Каждая организация должна использовать шкалу, наиболее подходящую для ее условий).
Перед изучением рекомендаций необходимо ознакомиться со следующими пояснениями:
- в некоторых из рекомендаций, представленных ниже, содержится примечание "Нет записи", для негативных последствий, приведенных для каждой градации инцидента ИБ (от 1 до 10) и идентичных для других шкал (например, с градацией от 1 до 5). Однако на некоторых градациях (по шкале от 1 до 10) для конкретных инцидентов ИБ считается, что из-за отсутствия больших различий в записях о последствиях инцидента ИБ на более низких градациях делать запись нецелесообразно и в этом случае делается примечание "Нет записи". Аналогично вышеизложенному, при более высоких градациях инцидента ИБ считается, что негативные последствия для них не могут быть серьезнее негативных последствий, показанных для самой высокой градации, и, следовательно, для этих градаций действует примечание "Нет записи". (Таким образом, было бы неправильно исключить указания с пометкой "Нет записи" и тем самым градацию шкалы);
- для приведенных рекомендаций, в которых применяются финансовые показатели, приведенные пределы колебаний кажутся несколько необычными. Перед использованием эти рекомендации должны быть дополнены нормированием колебаний курса валюты, наиболее подходящей для организации.
Таким образом, при использовании перечисляемых рекомендаций для расследования негативных последствий инцидента ИБ для бизнеса организации, являющихся следствием несанкционированного раскрытия информации, несанкционированного изменения информации, отказа от использованной информации, недоступности информации и (или) сервиса, уничтожения информации и (или) сервиса, в первую очередь необходимо определить, какая из нижеследующих категорий является соответствующей. Необходимо применять рекомендации по категорированию для определения реального негативного воздействия на бизнес-процессы ("значимость") с целью занесения в форму отчета об инциденте ИБ.
В.2 Финансовые убытки/нарушение хода бизнес-операцийПоследствия несанкционированного раскрытия, модификации и искажения смысла переданной информации, а также недоступности и уничтожения такой информации могут привести к финансовым убыткам, например, в результате снижения цен на акции, мошенничества или разрыва контракта по причине бездействия или запоздалых действии в отношении этих последствий. Последствиями недоступности или уничтожения любой информации может быть также нарушение бизнес-процесса. На исправление ситуации и (или) восстановление бизнес-процесса после таких инцидентов ИБ потребуются время и усилия. Эти последствия в некоторых случаях могут быть значительными и должны обязательно приниматься во внимание. Для расчетов последствий необходимо, чтобы время восстановления вычислялось в единицах рабочего времени персонала и пересчитывалось в стоимость рабочего времени (финансовые затраты). Эти финансовые затраты должны быть вычислены, исходя из средней стоимости 1 чел.-мес по соответствующей градации/уровню, принятой/принятого внутри организации. Предлагается руководствоваться следующими рекомендациями:
1) результат в финансовых убытках/затратах х_1 или менее;
2) результат в финансовых убытках/затратах между х_1 и х_2;
3) результат в финансовых убытках/затратах между х_2 + 1 и х_3;
4) результат в финансовых убытках/затратах между х_3 + 1 и х_4;
5) результат в финансовых убытках/затратах между х_4 + 1 и х_5;
6) результат в финансовых убытках/затратах между х_5 + 1 и х_6;
7) результат в финансовых убытках/затратах между х_6 + 1 и х_7;
8) результат в финансовых убытках/затратах между х_7 + 1 и х_8;
9) результат в финансовых убытках/затратах более х_8;
10) организация выходит из бизнеса.
В.3 Коммерческие и экономические интересыКоммерческая и экономическая информация нуждается в защите и оценивается с учетом ее значимости для конкурентов или по воздействию, которое оказывает ее компрометация на коммерческие интересы. Следует руководствоваться следующими рекомендациями по обеспечению защиты информации, представляющей интерес:
1) для конкурента, но не имеет коммерческой значимости (ценности);
2) для конкурента при значении параметра ценности информации, равном у_1 или менее (коммерческий оборот);
3) для конкурента при значении параметра ценности информации, находящегося в диапазоне у_1 + 1 и у_2 (оборот) или является причиной финансовых убытков, или потери заработка, или облегчает получение незаконной прибыли, или вызывает нарушение обязательств по поддержанию достоверности информации, поставляемой третьими сторонами;
4) для конкурента при значении параметра ценности информации, находящегося в диапазоне у_2 + 1 и у_3 (товарооборот);
5) для конкурента при значении параметра ценности информации, находящегося в диапазоне у_3 + 1 и у_4 (товарооборот);
6) для конкурента при значении параметра ценности информации более у_4 + 1 (оборот); а также в случаях, когда:
<*> Термин "Нет записи" означает, что для этой градации последствий инцидента ИБ соответствующая запись
отсутствует.
8) нет записи;
9) может существенно повлиять на коммерческие интересы или подорвать финансовое состояние организации;
10) нет записи.
В.4 Информация, содержащая персональные данныеВ местах хранения и обработки информации, содержащей персональные данные физических лиц, считают моральной и этически корректной, а при некоторых обстоятельствах юридически необходимой защиту этой информации от несанкционированного раскрытия, которое может привести в лучшем случае к созданию дискомфорта у юридического лица, а в худшем - к судебному преследованию лица, раскрывшего информацию, в соответствии с требованием законодательства в части защиты персональных данных. В равной степени необходимо, чтобы информация, содержащая персональные данные, была всегда правильной, поскольку ее несанкционированное изменение, приводящее к появлению некорректных данных, может иметь такое же последствие, что и ее несанкционированное раскрытие. Важно, чтобы информацию, содержащую персональные данные, нельзя было сделать доступной или уничтожить, поскольку это может привести к принятию неправильных решений юридическими лицами или их бездействию во время инцидента ИБ, что может иметь такое же воздействие, что и несанкционированное раскрытие или модификация информации. Следует руководствоваться следующим рекомендациями по градации нанесения ущерба информации, содержащей персональные данные:
1) нанесение (причинение) незначительного ущерба (беспокойства) конкретному лицу (гнев, расстройство, разочарование), но не нарушение правовых или нормативных требований;
2) нанесение (причинение) ущерба (беспокойства) конкретному лицу (гнев, расстройство, разочарование), но не нарушение правовых или нормативных требований;
3) нарушение правовых, нормативных или этических требований, а также опубликование намерения относительно нарушения защиты информации, приводящее к незначительному дискомфорту конкретного лица или группы лиц;
4) нарушение правовых, нормативных или этических требований, а также опубликование намерений относительно нарушения защиты информации, приводящее к чувству значительного дискомфорта для конкретного лица или к незначительному дискомфорту - группы лиц;
5) нарушение правовых, нормативных или этических требований, а также опубликованных намерений относительно защиты информации, приводящее к серьезным проблемам конкретного лица;
6) нарушение правовых, нормативных или этических требований, а также опубликование намерений относительно нарушения защиты информации, приводящее к серьезному дискомфорту для группы лиц;
7) нет записи;
8) нет записи;
9) нет записи;
10) нет записи.
В.5 Правовые и нормативные обязательстваДанные, хранимые и обрабатываемые организацией, могут подчиняться правовым и нормативным обязательствам или храниться и обрабатываться с целью обеспечения соответствия организации данным обязательствам.
Несоблюдение таких обязательств, намеренное или ненамеренное, может привести к принятию правовых или административных мер к лицам, работающим в данной организации. Результатом принятия данных мер могут быть штрафы и (или) тюремное заключение. Предлагается руководствоваться следующими рекомендациями:
1) нет записи;
2) нет записи;
3) предупреждение о правоприменении, гражданский иск или уголовное преступление, приводящее к финансовым убыткам/штрафу z_1 или меньше;
4) предупреждение, гражданский иск или уголовное преступление, приводящее к финансовому ущербу/ штрафу между z_1 + 1 и z_2;
5) предупреждение о правоприменении, гражданский иск или уголовное преступление, приводящее к финансовым убыткам/штрафу между z_2 + 1 и z_3 или тюремному заключению сроком до двух лет;
6) предупреждение о правонарушении, гражданский иск или уголовное преступление, приводящее к финансовым
убыткам/штрафу между z_3 + 1 и z_4 или тюремному заключению сроком от двух до 10 лет;
7) предупреждение о правонарушении, гражданский иск или уголовное преступление, приводящее к финансовым убыткам/штрафу или тюремному заключению сроком более 10 лет;
8) нет записи;
9) нет записи;
10) нет записи.
В.6 Менеджмент и бизнес-операцииИнформация может быть такой, что ее компрометация способна нанести ущерб эффективности работы организации. Например, будучи раскрытой, относящаяся к внесению изменений в политике информация может спровоцировать такую общественную реакцию, что реализация данной политики станет невозможной. Модификация, изменение смысла переданной информации или недоступность информации, касающейся финансовых аспектов или компьютерного программного обеспечения, могут также иметь серьезные последствия для работы организации. Кроме того, отказ от обязательств по обеспечению ИБ может иметь негативные последствия для бизнеса. Предлагается руководствоваться следующими рекомендациями по оценке последствий:
1) неэффективная работа одного подразделения организации;
2) нет записи;
3) нарушение функций (деятельности) по эффективному руководству организацией и ее работы;
4) нет записи;
5) создание препятствий для эффективной разработки или функционирования политик организации;
6) причинение ущерба организации при коммерческих или политических переговорах с другими организациями;
7) создание препятствий для разработки или функционирования главных политик организации, отключение или значительное прерывание важных операций каким-либо другим способом;
8) нет записи;
9) нет записи;
10) нет записи.
В.7 Утрата престижаНесанкционированное раскрытие информации, отказ от обязательств по обеспечению ИБ или модификация информации, а также недоступность информации могут привести к потере престижа организации с последующим возможным нанесением ущерба ее репутации, к потере доверия и другим негативным последствиям. Предлагается руководствоваться следующими рекомендациями по оценке престижа организации:
1) нет записи;
2) создание атмосферы недовольства внутри организации;
3) негативное влияние на отношения с акционерами, потребителями, поставщиками, регулирующими органами, правительством, с другими организациями или общественностью, приводящее к нежелательным последствиям местного/регионального масштаба;
4) нет записи;
5) негативное влияние на отношения с акционерами, потребителями, поставщиками, регулирующими органами, правительством, с другими организациями или общественностью, приводящее к нежелательным последствиям национального масштаба;
6) нет записи;
7) значительное негативное влияние на отношения с акционерами, потребителями, поставщиками, регулирующими органами, правительством, с другими организациями или общественностью, приводящее к нежелательным последствиям;
8) нет записи;
9) нет записи;
10) нет записи.