Государственный стандарт республики узбекистан информационная технология методы обеспечения безопасности

Download 257,06 Kb.

bet	33/43
Sana	26.05.2022
Hajmi	257,06 Kb.
	#608802

1 ... 29 30 31 32 33 34 35 36 ... 43

Bog'liq
1-tarmoq

B.3.2 Примерный подход 2

B.3.2.1 Общие положения
В данном подходе представлены примерные рекомендации для оценки неблагоприятных последствий инцидентов ИБ, где каждая рекомендация использует шкалу от 1 (низкая) до 10 (высокая) для классификации инцидентов ИБ. (На практике можно использовать другую градацию, например, от 1 до 5, и организация должна принять шкалу, наиболее подходящую для ее среды.)
Перед изучением рекомендаций необходимо отметить следующее пояснение:
- в некоторых из приведенных ниже рекомендаций содержатся примечания «Нет записи». Это объясняется тем, что рекомендации формулируются таким образом, что неблагоприятные последствия, приведенные для каждой градации инцидентов ИБ (от 1 до 10), в целом аналогичны для всех шести типов, представленных в B.3.2.2 - B.3.2.7. Однако на некоторых градациях (по шкале от 1 до 10) для определенных типов считается, что из-за отсутствия больших различий в записях о последствиях инцидента ИБ, на более низких градациях делать запись нецелесообразно и в этом случае делается примечание «Нет записи». Аналогично, при более высоких градациях считается, что неблагоприятные последствия для них не могут быть серьезнее тех, что указаны для самой высокой градации и, следовательно, для этих градаций действует примечание «Нет записи». Таким образом, было бы логически неправильно исключить указания с пометкой «Нет записи» и сузить градацию шкалы.
Приведенный в В.3.2.2 - В.3.2.7 набор рекомендаций следует использовать при рассмотрении неблагоприятного воздействия инцидента ИБ на бизнес-деятельность организации вследствие:
- несанкционированного раскрытия информации;
- несанкционированной модификации информации;
- искажения смысла переданной информации;
- недоступности информации и/или услуги;
- уничтожения информации и/или услуги.
Первым делом следует определить, какой из нижеследующих типов подходит для определенного случая. Для определенных типов необходимо применять рекомендации по категоризации для определения реальных неблагоприятных последствий на бизнес-процессы (или значимости) с целью занесения в форму отчета об инциденте ИБ.

Download 257,06 Kb.

Do'stlaringiz bilan baham:

1 ... 29 30 31 32 33 34 35 36 ... 43