Оценка риска включает в себя следующие шаги:
1. Определение характеристик системы.
2. Идентификация угроз.
3. Идентификация уязвимостей.
4. Анализ контроля.
5. Определение вероятностей.
6. Анализ влияния.
7. Определение риска.
8. Рекомендации по контролю.
9. Результирующая документация.
Шаг 1. Определение характеристик системы
На данном этапе собирается информация, которая включает в себя сведения об аппаратуре; программном обеспечении, системных интерфейсах (внутренних и внешних соединениях), данных, персонале, поддерживающем и использующем систему, назначении системы (процессах, производимых системой), критичности системы и данных, их чувствительности.
Для сбора этой информации могут использоваться вопросники, интервью, обзор документов, автоматические сканирующие устройства.
Шаг 2. Идентификация угроз
Источник угроз определяется как любое обстоятельство или событие, которые потенциально могут причинить ущерб ИТ-системе. Общими источниками угроз могут быть природа, люди и оборудование.
Шаг 3. Анализ уязвимостей
Для определения системных уязвимостей используются источники угроз и результаты тестирования системной безопасности. Затем следует разработка контрольного списка требований по безопасности. Необходимо отметить, что типы уязвимостей и методика их определения зависят от структуры ИТ-инфраструктуры.
