- •Санкт-Петербург 2023
- •Оценка воздействия
- •Идентификация бизнес-операций
- •Идентификация it-сервисов
- •Оценка значимости бизнес-операций
- •Формирование перечня it-ресурсов
- •Идентификация перечня угроз it
- •Оценка вероятности и последствий угроз для it
- •Расчет риска
- •«Оценка вероятности и последствий угроз для ит-ресурсов организации».
- •Сводная оценка рисков ra и bia
- •Идентификация it-целей в части bcp
- •Идентификация it-сервисов
- •Разработка плана тестирования bcp
- •Заключение
Идентификация перечня угроз it
Целью шага является формирование стандартного перечня угроз для различных категорий ИТ-ресурсов.
Для каждого типа ИТ-ресурса определяется перечень возможных угроз в отношении данного типа ИТ-ресурсов.
Для каждой из угроз указываются детальные цели контролей в соответствии с CobIT 4.0.
-
Тип ИТ-
ресурса
ID
угрозы
Угроза
Детальная цель контроля Cobit
Прикладная система
T-SY-001
Сбой программного обеспечения
DS10.1 Идентификация и классификация
проблемы
DS10.2 Сопровождение и разрешение
проблемы
DS10.3 Закрытие проблемы
DS10.4 Интеграция управления конфигурацией,
изменениями и проблемами
T-SY-002
Несанкционированные изменения кода
AI6.1 Стандарты и процедуры в области управления
изменениями
DS5.1 Общее управление ИТ-безопасностью
DS5.2 ИТ план в области безопасности
DS5.5 Тестирование, контроль и мониторинг в
области безопасности
DS5.6 Идентификация инцидентов в области
безопасности
T-SY-003
Плохо протестированные изменения кода
PO8.1 Система управления качеством
PO8.2 Стандарты и способы управления
качеством
PO8.3 Стандарты в области приобретения и
разработки ПО
PO8.6 Измерение, мониторинг и оценка
качества
AI2.8 Гарантирование качества приобретаемого/
разрабатываемого ПО
AI6.1 Стандарты и процедуры в области управления
изменениями
T-SY-004
Не установленные своевременно обновления и заплатки
DS15.1 Стандарты в области защиты и
обновления ПО
DS5.1 Общее управление ИТ-безопасностью
DS2.5 Стандарты в области ПО защиты
База данных
T-DB-001
Неверное конфигурирование настроек
DS5.1 Общее управление ИТ-безопасностью
AI6.1 Стандарты и процедуры в области управления
изменениями
PO8.6 Измерение, мониторинг и оценка
качества
PO3.4 Тестирование и контроль над конфигурацией
сопровождаемого ПО
T-DB-002
Плохо протестированные изменения кода, затрагиваемые
данные в БД
PO8.1 Система управления качеством
PO8.2 Стандарты и способы управления
качеством
PO8.3 Стандарты в области приобретения и
разработки ПО
PO8.6 Измерение, мониторинг и оценка
качества
AI2.8 Гарантирование качества приобретаемого/
разрабатываемого ПО
AI6.1 Стандарты и процедуры в области
управления изменениями
T-DB-003
Несанкционированный доступ
DS5.1 Общее управление ИТ-безопасностью
DS5.6 Идентификация инцедентов в области
безопасности
DS1.3 Стандарты защиты аутентификации
Операционная система
T-OS-001
Сбой программного обеспечения
DS10.1 Идентификация и классификация
проблемы
DS10.2 Сопровождение и разрешение
проблемы
DS10.3 Закрытие проблемы
DS10.4 Интеграция управления конфигурацией,
изменениями и проблемами
T-OS-002
Несанкционированный доступ
DS5.1 Общее управление ИТ-безопасностью
DS5.6 Идентификация инцедентов в области
безопасности
DS1.3 Стандарты защиты аутентификации
T-OS-003
Не установленные своевременно обновления и заплатки
DS15.1 Стандарты в области защиты и
обновления ПО
DS5.1 Общее управление ИТ-безопасностью
DS2.5 Стандарты в области ПО защиты