I. Термины и определения

Ресурс (Asset). В широком смысле это все, что представляет ценность с точки зрения организации и является объектом защиты. В узком смысле ресурс — часть информационной системы. В прикладных методах анализа рисков обычно рассматриваться следующие классы ресурсов:

• оборудование (физические ресурсы);
• информационные ресурсы (базы данных, файлы, все виды документации);
• программное обеспечение (системное, прикладное, утилиты, другие вспомогательные программы);
• сервис и поддерживающая инфраструктура (обслуживание СВТ, энергоснабжение, обеспечение климатических параметров и т.п.).

Информационная Безопаснсоть (ИБ) (Information Security) — защищенность ресурсов ИС от факторов, представляющих угрозу для:

• конфиденциальности;
• целостности;
• доступности.

Угроза (Threat) — совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности.

Уязвимость (Vulnerability) — слабость в системе защиты, которая делает возможной реализацию угрозы.

Анализ рисков — процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер.

Базовый уровень безопасности (Baseline Security) — уровень, соответствующий критериям CCTA Baseline Security Survey. Обязательный минимальный уровень защищенности для информационных систем государственных учреждений Великобритании.

Базовый (Baseline) анализ рисков — анализ рисков, проводимый в соответствии с требованиями базового уровня защищенности. Прикладные методы анализа рисков, ориентированные на данный уровень, обычно не рассматривают ценность ресурсов и не оценивают эффективность контрмер. Методы данного класса применяются в случаях, когда к информационной системе не предъявляется повышенных требований в области информационной безопасности.

Полный (Full) анализ рисков — анализ рисков для информационных систем, предъявляющих повышенные требования в области ИБ (более высокие, чем базовый уровень защищенности). Это предполагает:

• определение ценности ресурсов;
• оценку угроз и уязвимостей;
• выбор адекватных контрмер, оценку их эффективности.

Риск нарушения ИБ (Security Risk) — возможность реализации угрозы.

Оценка рисков (Risk Assessment) — идентификация рисков, выбор параметров для их описания и получение оценок по этим параметрам.

Управление рисками (Risk Management) — процесс определения контрмер в соответствии с оценкой рисков.

Система управления ИБ (Information Security Management System) — комплекс мер, направленных на обеспечение режима ИБ на всех стадиях жизненного цикла ИС.

Класс рисков — множество угроз ИБ, выделенных по определенному признаку (например, относящихся к определенной подсистеме или типу ресурса).

Литература	Содержание	Основные положения стандарта BS7799