- •8.160101 Защита информации с ограниченным доступом и автоматизация ёё обработки
- •8(7).160105 Защита информации в компьютерних системах и сетях
- •8(7).160104 Административный менеджмент в сфере защиты информации с с ограниченным доступом
- •Лабораторная работа № 1 Разработка политики безопасности предприятия.
- •Методические указания по работе и комплекс лабораторных работ с программным комплексом Digital Security Office 2006
- •1. Введение
- •1.1. Общие положения
- •4.1.3. Приступая к работе
- •4.1.4. Алгоритм
- •4.1.5. Общие принципы работы с программой
- •4.1.6. Пример расчета рисков невыполнения требований стандарта
- •4.2. Программа Гриф
- •4.2.1. Гриф. Модель информационных потоков
- •4.2.1.1. Общее описание
- •4.2.1.2. Приступая к работе
- •4.2.1.3. Алгоритм
- •4.2.1.4. Общие принципы работы с программой
- •4.2.1.5. Пример расчета рисков информационной системы на основе модели информационных потоков
- •Вопрос 1:
- •Вопрос 2:
- •Вопрос 3:
- •4.2.2. Гриф. Модель угроз и уязвимостей
- •4.2.2.1. Назначение
- •4.2.2.2. Классификация угроз dsecct (Digital Security Classification of Threats)
- •4.2.2.3. Приступая к работе
- •4.2.2.4. Алгоритм
- •4.2.2.5. Общие принципы работы с программой
- •4.2.2.6. Пример построения модели информационной системы на основе модели угроз и уязвимостей
- •Раздел 1. Физическое воздействие человека, направленное на ис
- •Раздел 2. Физические угрозы, направленные на ис
- •Раздел 3. Локальные программные угрозы, направленные на ресурс
- •4.2.2.7. Пример расчета рисков информационной системы на основе модели угроз и уязвимостей
- •6. Лабораторные работы
- •6.1. Программа Кондор
- •6.1.1. Лабораторная работа 1
- •6.1.2. Лабораторная работа 2
- •6.2. Программа Гриф.
- •6.2.1. Гриф. Модель информационных потоков
- •6.2.1.1. Лабораторная работа 1
- •6.2.1.2. Лабораторная работа 2
- •6.2.2. Гриф. Модель угроз и уязвимостей
- •6.2.2.1. Лабораторная работа 1
- •6.2.2.2. Лабораторная работа 2
6. Лабораторные работы
6.1. Программа Кондор
6.1.1. Лабораторная работа 1
Расчет рисков невыполнения требований стандарта ISO 17799
Задание
Необходимо рассчитать риск невыполнения требований раздела стандарта ISO 17799 «Непрерывность ведения бизнеса».
Исходные данные
№ |
Требование стандарта ISO 17799 |
Значение эффективности |
Выполнение |
|
1 |
Необходимо четко осознавать риски, их вероятности, возможные последствия, включая идентификацию и расстановку приоритетов для критичных бизнес-процессов |
80 |
Выполнено |
|
2 |
Необходимо осознавать ущерб в случае нарушения непрерывности ведения бизнеса и задать бизнес-цели для ИС организации |
80 |
Выполнено |
|
3 |
Соответствующая уровню рисков форма страхования может быть частью процесса обеспечения непрерывности ведения бизнеса |
60 |
Не выполнено |
|
4 |
Должна быть сформулирована и задокументирована стратегия непрерывности ведения бизнеса, согласующаяся с установленными целями и приоритетами бизнеса |
90 |
Выполнено |
|
5 |
Должны быть сформулированы и задокументированы планы по обеспечению непрерывности ведения бизнеса, согласующиеся с установленной стратегией |
90 |
Выполнено |
|
6 |
Необходимо проводить регулярные обновления и тестирования планов и процедур по обеспечению непрерывности ведения бизнеса |
70 |
Не выполнено |
|
7 |
Управление процессом непрерывности ведения бизнеса должно быть внедрено в структуру организации |
70 |
Не выполнено |
|
8 |
При составлении планов по обеспечению непрерывности ведения бизнеса необходимо определить: |
– |
– |
|
1 |
Ответственных за обеспечение непрерывности ведения бизнеса |
70 |
Выполнено |
|
2 |
Действия, предпринимаемые в чрезвычайных ситуациях |
80 |
Выполнено |
|
9 |
Должен быть определен четкий порядок внедрения контраварийных процедур для восстановления бизнес процессов за требуемый промежуток времени |
80 |
Выполнено |
|
10 |
Особое внимание должно уделяться оценке зависимости бизнеса от внешних связей |
70 |
Не выполнено |
|
11 |
Все согласованные процедуры по обеспечению непрерывности ведения бизнеса должны быть документированы |
60 |
Выполнено |
|
12 |
Необходимо соответствующее обучение персонала порядку действий в аварийных ситуациях, включая антикризисное управление |
70 |
Не выполнено |
|
13 |
Должна быть определена периодичность тестирования и обновления планов по обеспечению непрерывности ведения бизнеса |
60 |
Не выполнено |
|
14 |
В плане обеспечения непрерывности ведения бизнеса должны быть определены условия, при которых ситуацию необходимо считать чрезвычайной (например, как оценить ситуацию, кто должен быть вовлечен в нее, чтобы ситуацию можно было считать чрезвычайной) |
70 |
Не выполнено |
|
15 |
Должны быть определены действия, предпринимаемые в ситуациях, несущих угрозу бизнесу и/или человеческой жизни |
70 |
Выполнено |
|
16 |
Действия в ситуациях, несущих угрозу бизнесу и/или человеческой жизни, должны в себя включать следующие процедуры |
– |
– |
|
1 |
Управление связями с общественностью |
60 |
Не выполнено |
|
2 |
Соответствующим образом налаженное сотрудничество с органами местной исполнительной власти, милицией, пожарными службами и т.д. |
70 |
Выполнено |
|
17 |
Должны быть определены процедуры восстановления, которые описывают действия по перемещению важнейших сервисов в альтернативное временное место расположения, и по возвращению деятельности бизнес-процессов в установленный период времени |
80 |
Не выполнено |
|
18 |
Должны существовать восстановительные процедуры, в которых описаны действия по возвращению к нормальному функционированию бизнес-процессов |
70 |
Выполнено |
|
19 |
Необходимо информирование и обучение персонала с целью достижения понимания процессов по обеспечению непрерывности ведения бизнеса и для гарантии того, что планы непрерывного ведения бизнеса эффективны |
80 |
Не выполнено |
|
20 |
Должна быть определена личная ответственность за выполнение каждого компонента плана, с указанием дублирующих лиц |
70 |
Не выполнено |
|
21 |
В рамках плана непрерывного ведения бизнеса необходимо осуществлять следующие виды тестирований |
– |
– |
|
1 |
Необходимо осуществлять теоретическое тестирование сценариев (обсуждение мероприятий по восстановлению бизнеса в случае различных ситуаций) |
60 |
Не выполнено |
|
2 |
Должны осуществляться различные виды моделирования (практический тренинг персонала по действиям в критичной ситуации) |
60 |
Не выполнено |
|
3 |
Должно проводиться техническое тестирование, гарантирующее, что работа ИС может быть восстановлена |
60 |
Не выполнено |
|
4 |
Должно проводиться тестирование по восстановлению систем в альтернативном месте (запуск бизнес-процессов параллельно с операциями восстановления вдали от основного месторасположения) |
70 |
Не выполнено |
|
5 |
Необходимо проводить тестирование поставщиков систем и услуг (гарантия, что внешние предоставляемые услуги и продукты будут соответствовать контрактным обязательствам) |
70 |
Не выполнено |
|
6 |
Необходимо проводить комплексные учения (тестирование возможностей справиться с нештатной ситуацией) |
70 |
Не выполнено |
|