ИБшник – он ведь как привык: потенциальный ущерб Х вероятность = риск. Если вероятность чего-то нулевая, соответствующий риск можно не калькулировать, сразу вычеркиваем.
Во ФСТЭКовских документах по ПДн (а конкретно – в Методике определения актуальности угроз) не так.
Во-первых, на месте вероятности находится возможность, которая является суммой вероятности и незащищенности, поэтому даже маловероятную угрозу нельзя выкидывать раньше времени – она еще может превратиться в актуальную при дальнейшем расчете.
Во-вторых, на месте знака умножения стоит... не знаю, как это назвать. В-общем, совы – не то, чем они кажутся. В результате высокая опасность даже в сочетании с нулевой возможностью (т.е. нулевой вероятностью и сверх-защищенностью) дает актуальность, а не ноль, подспудно ожидаемый из предшествующего жизненного опыта.
Поэтому если хочется сэкономить бумагу и мозг заказчика, но не погрешить против ФСТЭК, то идти надо в обратную сторону.
Сначала оцениваем опасность угроз и все, получившие высокую оценку, сразу переносим в актуальные и больше с ними не возимся.
Потом оцениваем исходную защищенность (которую уместнее было бы называть незащищенностью, раз 0 - это хорошо, а 10 - плохо) и в случае низкой cносим в список актуальных все среднеопасные угрозы тоже.
Для оставшихся - оценка вероятности.
Во ФСТЭКовских документах по ПДн (а конкретно – в Методике определения актуальности угроз) не так.
Во-первых, на месте вероятности находится возможность, которая является суммой вероятности и незащищенности, поэтому даже маловероятную угрозу нельзя выкидывать раньше времени – она еще может превратиться в актуальную при дальнейшем расчете.
Во-вторых, на месте знака умножения стоит... не знаю, как это назвать. В-общем, совы – не то, чем они кажутся. В результате высокая опасность даже в сочетании с нулевой возможностью (т.е. нулевой вероятностью и сверх-защищенностью) дает актуальность, а не ноль, подспудно ожидаемый из предшествующего жизненного опыта.
Поэтому если хочется сэкономить бумагу и мозг заказчика, но не погрешить против ФСТЭК, то идти надо в обратную сторону.
Сначала оцениваем опасность угроз и все, получившие высокую оценку, сразу переносим в актуальные и больше с ними не возимся.
Потом оцениваем исходную защищенность (которую уместнее было бы называть незащищенностью, раз 0 - это хорошо, а 10 - плохо) и в случае низкой cносим в список актуальных все среднеопасные угрозы тоже.
Для оставшихся - оценка вероятности.
