ГОСТ Р 59163-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Руководство по обеспечению безопасности при внедрении серверов виртуализации
Приложение А
(справочное)
ОЦЕНКА РИСКОВ ДЛЯ СВ
А.1 Общие сведения
Целью оценки рисков по таблице А.1 является анализ рисков безопасности существующего (или нового) сервера виртуальной инфраструктуры и определения оптимального способа снижения их с учетом потребностей организации. Процедура оценки состоит из следующих этапов:
а) оценка вероятности возникновения риска с использованием таблицы А.2;
б) оценка значимости последствий для предприятия с учетом конфиденциальности/целостности/доступности данных по таблице А.3;
в) оценка общей значимости последствий по таблице А.4, основываясь на максимальном уровне риска, связанного с нарушением конфиденциальности/целостности/доступности данных трех таблиц А.1 - А.3;
г) определение мер для устранения или снижения риска до приемлемого уровня;
д) оценка остаточного уровня риска после принятия мер;
е) повторение шагов в) и д) для следующего риска максимального уровня, связанного с нарушением конфиденциальности/целостности/доступности данных, пока все риски не будут устранены/снижены до приемлемого уровня.
А.2 Матрица оценки рисков
В таблице А.1 приведен образец шаблона для оценки риска.
Таблица А.1
Матрица оценки рисков
Тип риска | Вероятность (таблица А.2) | Уровень значимости с учетом нарушения конфиденциальности (таблица А.3) | Уровень значимости с учетом нарушения целостности (таблица А.3) | Уровень значимости с учетом нарушения доступности (таблица А.3) | Оценка уровня риска (таблица А.4) | Меры, применяемые для управления риском | Оценка остаточного уровня риска (таблица А.4) |
Бесконтрольный рост числа ВМ | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Конфиденциальные данные в ВМ | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Безопасность автономных и неактивных ВМ | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Безопасность предварительно настроенных (с помощью эталонного образа) ВМ/активных ВМ | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Отсутствие прозрачности и элементов управления виртуальными сетями | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Нехватка ресурсов | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Безопасность гипервизора | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Несанкционированный доступ к гипервизору | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Взлом учетной записи или службы через портал самообслуживания | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Обработка информации различных категорий с разным уровнем доверия на одном сервере | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
Риски, связанные с API, предоставленным CSP | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий | Низкий Средний Высокий |
|
|
|
А.3 Вероятность
В таблице А.2 приведены критерии оценки, позволяющие определить вероятность возникновения риска для связанной уязвимости.
Таблица А.2
Оценка вероятности для связанной уязвимости
Вероятность | Критерии оценки |
Высокая | Соответствующие меры безопасности не приняты |
Средняя | Соответствующие меры безопасности приняты, но внедрены непоследовательно и неэффективно |
Низкая | Соответствующие меры безопасности приняты последовательно и эффективно |
А.4 Уровень значимости
В таблице А.3 приведены критерии для определения уровня значимости риска с учетом нарушения конфиденциальности/целостности/доступности.
Таблица А.3
Уровень значимости с учетом нарушения
конфиденциальности/целостности/доступности
Уровень значимости | Критерии оценки |
Высокий | Значительное влияние на деятельность предприятия |
Средний | Материальные или нематериальные убытки для предприятия |
Низкий | Малые убытки из-за незначительных неудобств/нарушения эффективности рабочих операций |
А.5 Матрица оценки риска
В таблице А.4 определены уровни риска на основе взаимосвязи между вероятностью, приведенной в таблице А.2, и уровнем значимости, приведенным в таблице А.3.
Таблица А.4
Матрица с определенными уровнями риска
Вероятность | Уровень значимости | ||
Низкая | Средняя | Высокая | |
Низкий | 1 (незначительный) | 2 (малый) | 3 (средний) |
Средний | 2 (малый) | 3 (средний) | 4 (высокий) |
Высокий | 3 (средний) | 4 (высокий) | 5 (чрезвычайно высокий) |
Подписаться на обновления