а) обоснование выбора методики оценки риска;
б) описание проведения процедуры оценки рисков, с указанием:
· должностных лиц, участвующих в оценке;
· способов (форм) представления исходной информации;
· способов (форм) представления результатов оценки рисков
в) результаты проведения оценки риска, проведенные с учетом ценности информационных активов (п.1.2.1.), наличия уязвимостей (п.1.2.2.), степени угроз (п.1.2.3) и состояния действующей в организации системы защиты информации (п.1.2.4.).
г) определить (при наличии) приемлемые риски, обосновать данное решение.
Результаты проведения оценки целесообразно свести в таблицу, которая должна содержать риски наиболее ценным информационным активам, ранжированные в порядке убывания.
Таблица 10
Результаты оценки рисков информационным активам организации
Риск | Актив | Ранг риска |
Следует обратить особое внимание на то, что именно результаты оценки рисков являются основанием для:
· выбора и формулировки задач по обеспечению информационной безопасности предприятия (п.1.3.);
· выбора защитных мер (п.1.4.);