- •Санкт-Петербург 2023
- •Оценка воздействия
- •Идентификация бизнес-операций
- •Идентификация it-сервисов
- •Оценка значимости бизнес-операций
- •Формирование перечня it-ресурсов
- •Идентификация перечня угроз it
- •Оценка вероятности и последствий угроз для it
- •Расчет риска
- •«Оценка вероятности и последствий угроз для ит-ресурсов организации».
- •Сводная оценка рисков ra и bia
- •Идентификация it-целей в части bcp
- •Идентификация it-сервисов
- •Разработка плана тестирования bcp
- •Заключение
МИНОБРНАУКИ РОССИИ
САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ОТЧЕТ
по практической работе №13
по дисциплине «Основы информационной безопасности»
Тема: Цели безопасности и классификация событий риска
-
Студент гр.
Преподаватель
Санкт-Петербург 2023
Цель работы
Изучение вида работ по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р 18044.
Объекты угроз:
ПК с выходом в интернет;
IP-телефония;
Локальная сеть;
ПО 1С 8;
БД.
Оценка факторов риска, разработка вариантов СЗИ и анализ результативности мер будет проводиться с помощью комплексной экспертной системы «РискМенеджер - Анализ v3.5».
Согласно банку угроз программного обеспечения "РискМенеджер - Анализ v3.5" выделим актуальные классы рисков справедливые для нашего предприятия:
Риски, связанные с НСД – это риски утечки информации, связанные с недостаточной эффективностью средств защиты.
Риски, связанные с функционированием сервера – это риски потери полного доступа к информации.
Риски, связанные с отсутствие требуемых навыков у персонала для выполнения требуемой работы.
Риски, связанные с некорректно введенной информацией, пагубно влияющей на функционирование системы
Угрозы вирусного заражения
Dos-атаки – риск потери информации.
Оценка воздействия
Проведем поверхностную оценку воздействия определенных классов. Для этого распишем следующие шаги:
Идентификация бизнес-целей организации в части BCP
-
Бизнес-цель
Комментарий
Управление бизнес-рисками
Для получения максимальных результатов компаниям требуется комплексный подход к управлению рисками и системе внутреннего контроля, который позволит не только выявить и снизить уровень рисков, но и повысить общую
эффективность деятельности.
Идентификация значимых бизнес-процессов
Целью шага является идентификация ИТ-зависимых бизнес-процессов организации, значимых с точки зрения достижения бизнес-целей.
-
ID
Регион
Процесс
Блок владельца процесса
Должность владельца процесса
Владелец процесса
01.08
Санкт- Петербург
Разработка и тестирование
специализированного ПО
Отдел разработок
Старший
разработчик
Маков Александр
Владимирович
02.06
Санкт- Петербург
Настройка
межсетевого экрана и контроль трафика организации
Отдел обеспечения безопасности
Старший
администратор безопасности
Вишневский Павел
Федорович
02.10
Санкт- Петербург
Двойная
аутентификация для доступа к базам
данных
Отдел обеспечения безопасности
Старший
администратор безопасности
Чацкий Артур Сергеевич
03.01
Санкт- Петербург
Идентификация инициатив и
проектов, которые необходимо
реализовать компании
Блок администрации
Начальник отдела
Зайцев Игорь Николаевич