Пример содержания результирующего отчета

Рассмотрим примерную структуру оценки риска.

• 1 Введение:
• 1) Цель;
• 2) Масштабы данной оценки риска.

Описание системных компонентов, элементов, пользователей, расположение частей организации и другие детали системы, включенные в рассмотренные для оценки риска.

• 2 Подход к оценке риска — кратко описывается подход, используемый для оценки риска:
• 1) Участники (т.е члены команды оценки риска);
• 2) Техника, используемые для сбора информации;
• 3) Разработка и описание шкалы рисков (т.е. 3?3, 4?4, или 5?5 матрицы уровней риска).
• 3 Характеристика системы — характеризуется система, включая аппаратуру (серверы, маршрутизаторы, коммутаторы) программное обеспечение приложение, ОС, протоклы), системные интерфейсы (коммуникационные каналы), данные (хранимые, передаваемые и обрабатываемые), и пользователи системы. Приводятся диаграммы связности или схемы системных входов и выходов для очерчивания границ оценки рисков.
• 4 Ведомость угроз — собираются и перечисляются потенциальные источники угроз и ассоциированные с ними действия, соответствующие оцениваемой системе.
• 5 Результаты оценки риска — перечисляются потенциальные источники. Каждое утверждение должно включать в себя:
• 1) Номер утверждения и краткое описание (например, «Утверждение 1: пароли систем пользователей могут быть подобраны или взломаны»);
• 2) Обсуждение источников пар угроз — уязвимостей;
• 3) Идентификация существенных средств защиты;
• 4) Обсуждение частоты появления оценок влияния (высокое, средняя, низкая);
• 5) Обсуждение анализа и оценки влияния (высокое, средняя, низкая);
• 6) Ранжирование риска на основе матрицы уровней риска (высокий, средний, уровни риска) ;
• 7) Рекомендуемые средства или альтернативные варианты уменьшения риска.
• 6 Заключение — сводка утверждений, ассоциированных уровней риска, рекомендации и любые комментарии, сведенные в таблицу для удобства пользования руководством организации и облегчения применения рекомендованных средств во время процесса уменьшения риска.