- •Санкт-петербургский государственный
- •По дисциплине «Основы информационной безопасности»
- •Идентификация бизнес-целей организации в части вср
- •Идентификация значимых бизнес-процессов
- •Идентификация бизнес-операций
- •Идентификация it-сервисов
- •Оценка значимости бизнес-операций
- •Формирование перечня it-ресурсов
- •Идентификация перечня угроз
- •Расчет риска
- •Оценка вероятности и последствий угроз
- •Сводная оценка ra и bia
- •Идентификация ит-целей в части bcp
- •Идентификация ит-процессов
- •Определение rto и rpo ит-сервисов
- •Разработка bcp ит-сервисов
- •Разработка плана тестирования bcp
- •Оценка воздействия угроз на бизнес bia
Идентификация перечня угроз
Для типов ИТ-ресурсов представлены угрозы безопасности и детальные цели контроля по CobIT 4.1., результаты сведены в таблицу 7.
Таблица 7 – идентификация перечня угроз
Тип ресурса |
ID Угрозы |
Угроза |
Детальная цель контроля (CobIT 4.1) |
Прикладная система |
T-SY-1 |
Угроза вирусного заражения |
DS 5.1. Управление ИТ-безопасностью |
Хранилище данных |
T-BD-1 |
Угроза уязвимостей СУБД |
DS 5.6. Определение инцидентов в сфере безопасности |
T-BD-2 |
DDoS-атака на сервер |
DS 3.5. Мониторинг и отчетность |
|
T-BD-3 |
Ошибки в настройке серверов |
DS 11.6. Требования по безопасности к управлению данными |
|
T-BD-4 |
НСД |
DS 5.3. Управление идентификацией |
|
T-BD-5 |
Хищение носителей информации |
DS 11.3. Управление библиотекой носителей данных |
|
Оборудование |
T-EQ-1 |
Пользователь совершает действия, не предусмотренные инструкциями |
AI 2.2. Детальный дизайн приложений |
T-EQ-2 |
Ошибки в настройке системы |
AI 3.3. Обслуживание инфраструктуры |
|
T-EQ-3 |
Слабые пароли |
DS 5.4. Управление учетными записями пользователей |
|
Канал коммуникаций |
T-CC-1 |
Ошибки конфигурирования |
DS 5.10. Сетевая безопаснсость |
T-CC-2 |
Обход злоумышленником защиты сетевого экрана |
DS 5.6. Определение инцидентов в сфере безопасности |
|
Персонал |
T-P-1 |
Персонал записывает пароли на бумаге |
DS 7.2. Проведение тренингов и обучение |
T-P-2 |
Персонал забывает пароли |
DS 5.4. Управление учетными записями пользователей |
Расчет риска
В таблице 8 представлен опросник, позволяющий определить по уровням вероятность и влияние угроз ИТ.
Таблица 8 – Опросник для оценки вероятности и последствий угроз
ID |
Критерий |
Вероятность |
Целостность |
Конфиденциальность |
Доступность |
|
Вопрос |
Насколько часто реализуется данная угроза для данного ресурса? (0 - никогда, 3 - очень часто) |
Если реализуется данная угроза, может ли это привести к искажению данных и насколько сильными могут быть эти искажения данных? (0 - не произойдет, 3 - достаточно серьезные) |
Может ли данная угроза привести к тому что ресурс станет доступен для широкого круга сотрудников или внешних людей? (0 - конфиденциальность ресурса сохранится, 3 - скорее всего ресурс станет доступен для НСД) |
Если данная угроза реализуется, насколько долгим будет простой системы? (0 - простоя не будет, 3 - простой будет длительным) |
T-SY-1 |
Угроза вирусного заражения |
2 |
2 |
1 |
2 |
T-BD-1 |
Угроза уязвимостей СУБД |
1 |
2 |
2 |
2 |
T-BD-2 |
DDoS-атака на сервер |
2 |
1 |
2 |
2 |
T-BD-3 |
Ошибки в настройке серверов |
1 |
1 |
2 |
1 |
T-BD-4 |
НСД |
1 |
3 |
1 |
2 |
T-BD-5 |
Хищение носителей информации |
2 |
3 |
2 |
3 |
T-EQ-1 |
Слабые пароли |
1 |
1 |
2 |
0 |
T-EQ-2 |
Пользователь совершает действия, не предусмотренные инструкциями |
1 |
1 |
0 |
1 |
T-EQ-3 |
Ошибки в настройке системы |
1 |
1 |
1 |
1 |
T-CC-1 |
Ошибки конфигурирования |
3 |
3 |
2 |
3 |
T-CC-2 |
Обход злоумышленником защиты сетевого экрана |
1 |
0 |
2 |
0 |
T-P-1 |
Персонал записывает пароли на бумаге |
2 |
0 |
3 |
1 |
T-P-2 |
Персонал забывает пароли |
2 |
2 |
3 |
2 |