, її комерційним партнерам, підрядникам та сервіс провайдерам вимоги законодавства, нормативної бази і договорів.
· Унікальний набір принципів, цілей і вимог до обробки інформації, який організація розробила для підтримки своїх ділових операцій і процесів, і який застосовується до інформаційних систем організації.
Після того, як вимоги законодавства і бізнес вимоги були визначені, необхідно розглянути їх у процесі визначення вартості ресурсів і сформулювати їх в термінах конфіденційності, цілісності та доступності.
Визначення вартості ресурсів:
Основні фактори в оцінці ризику - ідентифікація та визначення вартості ресурсів, виходячи з потреб бізнесу організації. Для визначення необхідного рівня захисту ресурсів, необхідно оцінити їх вартість виходячи зі ступеня їх важливості для бізнесу або їх цінності для різних можливостей ділової діяльності. Також необхідно враховувати ідентифіковані законодавчі вимоги, вимоги бізнесу та наслідки порушення конфіденційності, цілісності та доступності.
Одним із способів вираження вартості ресурсу є використання наслідків для бізнесу, що виникають у відношенні ресурсу і пов'язаних з ним ділових інтересів, яким буде завдано прямий або непрямий збиток в результаті небажаних інцидентів, таких як розкриття, модифікація, недоступність та/або знищення ресурсів. Ці інциденти можуть, у свою чергу, призвести до втрати доходу або прибутку, тому ці міркування повинні бути відображені у вартості ресурсів.
Вихідні дані для визначення вартості ресурсів повинні бути надані власниками і користувачами цих ресурсів, які можуть авторитетно міркувати про вартість ресурсів та конкретної інформації для організації та її бізнесу. Для того щоб визначати вартість ресурсів, має бути визначена шкала вартості ресурсів.
Для кожного з ресурсів повинна бути визначена його вартість, що відображає потенційні наслідки для бізнесу в разі порушення конфіденційності, цілісності, доступності або будь-яких інших важливих властивостей цего ресурсу. Для кожної з цих властивостей має бути визначено окреме значення вартості, так як вони є незалежними і можуть варіюватися для кожного з ресурсів.
Інформація та інші ресурси повинні бути відповідним чином класифіковані відповідно до ідентифікованої вартістю ресурсів, законодавчими і бізнес вимогами і рівнем критичності. Класифікація показує потребу, пріоритети та очікуваний рівень захисту при поводженні з інформацією. Визначення класифікації, а також її перегляд з метою надання гарантій того, що класифікація залишається на відповідному рівні, входить в обов'язки власника ресурсу.
Ідентифікація загроз і вразливостей:
Ресурси є об'єктом для багатьох видів загроз. Загроза може стати причиною небажаного інциденту, в результаті якого організації або її ресурсам буде завдано шкоди. Цей збиток може виникнути в результаті атаки на інформацію, що належить організації, наприклад, що приводить до її несанкціонованому розкриттю, модифікації, пошкодження, знищення, недоступності або втрати. Погрози можуть виходити від випадкових або навмисних джерел або подій. При реалізації загрози використовується одна або більше вразливостей використовуваних організацією систем, додатків або сервісів з метою успішного заподіяння збитку ресурсам. Загрози можуть виходити як зсередини організації, так і ззовні.
Уразливості являють собою слабкості захисту, асоційовані з ресурсами організації. Ці слабкості можуть використовуватися однією або декількома погрозами, які є причиною небажаних інцидентів, які можуть призвести до втрати, пошкодження чи шкоди для ресурсів та бізнесу організації. Ідентифікація вразливостей повинна визначати пов'язані з ресурсами слабкості в:
· фізичному оточенні;
· персоналі, процедурах управління, адміністрування і механізмах контролю;
· ділових операціях та наданні сервісів;
· технічних засобах, програмному забезпеченні або телекомунікаційному обладнанні і підтримуючої інфраструктурі.
Оцінка загроз і вразливостей:
Після ідентифікації загроз і вразливостей необхідно оцінити вірогідність їх об'єднання і виникнення ризику. Це включає в себе оцінку ймовірності реалізації загроз, а також того, наскільки легко вони можуть використовувати наявні уразливості.
Оцінка ймовірності загроз повинна враховувати наступне:
· Навмисні загрози. Імовірність навмисних загроз залежить від мотивації, знань, компетенції та ресурсів, доступних потенційному зловмиснику, а також від привабливості ресурсів для реалізації витончених атак.
· Випадкові загрози. Вірогідні...