МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ
ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)
Кафедра информационной безопасности
ПРАКТИЧЕСКАЯ РАБОТА №13 по дисциплине «Основы информационной безопасности»
Тема: «Цели безопасности и классификация событий риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
2.Цель работы: изучение вида работ по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р
18044.
3. Отчет выполняется с проведением анализа всех рисков с применением реагирования на основе диаграммы вероятность угрозы – величина ущерба.
4.Материал должен содержать титульный лист, постановку задачи,
текст и таблицы согласно нормативным документам.
1.Идентификация бизнес-целей организации в части BCP
Воснове метода требования бизнеса. Основные бизнес-требования для ГК МАРТ сформулированы в таблице 1.
ID |
Категория |
Бизнес-цель |
|
|
|
BG1 |
Пользователи |
Непрерывность и бесперебойность оказания услуг |
|
|
|
BG2 |
|
Максимально полное сопровождение учебных программ ГК МАРТ эл. ресурсами |
|
|
|
BG3 |
Финансы |
Обеспечение уникальности и конкурентоспособности услуг, включенных в платную |
|
|
подписку |
|
|
|
BG4 |
|
Соответствие внешним законам и регулирующим нормам |
|
|
|
Таблица 1 – Идентификация бизнес-целей организации
2.Идентификация значимых бизнес-процессов
Втаблице 2 представлены основные бизнес-процессы и их владельцы,
реализующие бизнес-цели.
|
Бизнес- |
ID |
Регион |
|
Процесс |
|
|
Блок владельца процесса |
|
|
Должность владельца |
|||
|
цель |
|
|
|
|
|
|
|
|
|
|
|
процесса |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
BG1 |
BP1 |
г. Великие |
|
Обеспечение |
круглосуточного |
|
Блок администрирования |
|
Администратор |
|
|||
|
|
|
Луки |
|
онлайн-доступа к чтению эл. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
книг, хранящихся в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
BG2, |
BP2 |
г. Великие |
|
Добавление и хранение книг |
|
Блок |
каталогизации |
и |
|
Каталогизатор |
|
||
|
BG4 |
|
Луки |
|
на общем сервере |
|
хранения |
электронных |
|
|
|
|||
|
|
|
|
|
|
|
ресурсов |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
BP3 |
г. Великие |
|
Автоматизированный поиск и |
|
Блок |
каталогизации |
и |
|
Каталогизатор |
|
||
|
|
|
Луки |
|
обработка ресурсов |
|
хранения |
электронных |
|
|
|
|||
|
|
|
|
|
|
|
|
ресурсов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
BP4 |
г. Великие |
|
Доступ к |
через ПК из |
|
Блок администрирования |
|
Администратор |
|
|||
|
|
|
Луки |
|
читального зала |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
BP5 |
г. Великие |
|
Регистрация и идентификация |
|
Блок администрирования |
|
Администратор |
|
||||
|
|
|
Луки |
|
пользователей в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
BG3 |
BP6 |
г. Великие |
|
Приобретение |
платного |
|
Финансовый блок |
|
|
Финансовый |
отдел |
||
|
|
|
Луки |
|
абонемента |
|
|
|
|
|
|
|
ГК МАРТ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таблица 2 – Идентификация значимых бизнес-процессов
3. Идентификация бизнес-операций
В рамках значимых бизнес-процессов, для каждого из них обозначены действия, прикладные системы, идентифицированы сервисы и бизнес-
операции. Также перечислены участвующие в бизнес-процессах данные
(таблица 3).
Таблица 3 (часть 1) – Идентификация бизнес-операций
Таблица 3 (часть 2) – Идентификация бизнес-операций
4. Идентификация ИТ-сервисов
Для каждой идентифицированной ранее бизнес-операции в таблице 4
проидентифицированы участвующие в них ресурсы. Оценка значимости бизнес-операций проведена в пункте 5.
Таблица 4 (часть 1) – Идентификация ИТ-сервисов
Таблица 4 (часть 2) – Идентификация ИТ-сервисов
5. Оценка значимости бизнес-операций
В таблице 5 проведена оценка значимости идентифицированных ранее бизнес-операций.
Таблица 5 – Оценка значимости бизнес-операций
6.Формирование перечня ИТ-ресурсов
Втаблице 6 представлен полный перечень ИТ-ресурсов ГК МАРТ, для
них |
указаны |
тип, |
использующие |
сервисы |
и |
описание. |
Таблица 6 – Формирование перечня ИТ-ресурсов
7.Идентификация перечня угроз ИТ
Втаблице 7 для каждого типа ИТ-ресурсов проидентифицированы угрозы безопасности и детальные цели контроля (из CobIT 4.1).
Таблица 7 – Идентификация перечня угроз ИТ
8.Оценка вероятности и последствий угроз для ИТ
Всоответствии с опросником (пункт 9) в таблице 8 представлена оценка вероятности и влияния проидентифицированных ранее угроз.
Таблица 8 – Оценка вероятности и последствий угроз для ИТ
9.Расчет риска
Втаблице 9 представлен вопросник, определяющий по уровням вероятность и влияние угроз ИТ.
Таблица 9 – Вопросник для оценки вероятности и последствий угроз
10.Сводная оценка рисков RA и BIA
Втаблице 10 проидентифицированы риски, для них указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из пункта 15, по оценке угроз из пункта 9, по оценке значимости из пункта 5. Общая оценка риска проведена на основании оценки значимости и оценки угроз (сумма/2).
Таблица 10 (часть 1) – Сводная оценка рисков с учетом ценности ИТ-
сервиса