Приложение 4. Примерная форма документирования данных и результатов оценки СВР угроз ИБ. Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности" (приняты и введены в действие распоряжением ЦБР от 11.11.2009 N Р-1190)

Приложение 4

Примерная форма документирования данных и результатов оценки СВР угроз ИБ

На примере заполнения:

тип информационного актива - "ДСП информация";

свойство ИБ - "Конфиденциальность";

способ реализации угрозы - "Несанкционированное копирование";

тип объекта среды - "Файлы данных с ДСП информацией";

источники угроз - "Внутренний нарушитель" и "Внешний нарушитель".

Тип информационного актива	Тип объекта среды	Источник угрозы ИБ	Свойства ИБ типа информационного актива	Способ реализации угроз ИБ*	Используемые априорные защитные меры	Прочие данные, определяющие СВР угроз ИБ	Оценка СВР угроз ИБ
"ДСП информация"	Файлы данных с "ДСП информацией"	Внутренний нарушитель	Конфиденциальность	Несанкционированное копирование	Проведение кадровой работы. Мониторинг и протоколирование доступа к файлам данных. Использование антивирусной защиты	Пользователь, имеющий право доступа к файлам данных имеет возможность совершить противоправное действие	высокая
		...
		Внешний нарушитель	Конфиденциальность	Несанкционированное копирование	Контроль и протоколирование доступа к файлам данных. Организация физической защиты зданий и помещений. Использование антивирусной защиты	Нет данных	минимальная

Примечание.

В ячейках "Оценка СВР угроз ИБ" требуется указать значение из следующего перечня: нереализуемая; минимальная; средняя; высокая; критическая.

------------------------------

* Степень детализации и порядок группировки для рассмотрения способов реализации угроз ИБ определяется организацией БС РФ.