- •Санкт-Петербург
- •Идентификация значимых бизнес-процессов
- •2. Идентификация бизнес-операций
- •3. Идентификация ит-сервисов
- •4. Оценка значимости бизнес-операций
- •7. Расчет риска
- •8. Сводная оценка рисков ra и bia
- •9. Определение rto и rpo ит-сервисов
- •10. Разработка вср ит-сервисов
- •11. Разработка плана тестирования вср.
7. Расчет риска
Критерий |
Вероятность |
Целостность |
Конфиденциальность |
Доступность |
Надежность |
Соответствие |
Вопрос |
Частота реализации угрозы |
Приводит ли к искажению данных |
Нарушение конфиденциальности |
Простой системы |
Актуальность данных |
Нарушение законодательства |
Несанкционированные изменения кода |
1 |
3 |
2 |
2 |
2 |
2 |
Плохо протестированные изменения кода |
2 |
2 |
1 |
0 |
1 |
0 |
Не установленные своевременно обновления и заплатки |
1 |
1 |
2 |
1 |
2 |
1 |
Сбой программного обеспечения |
3 |
2 |
2 |
2 |
2 |
1 |
8. Сводная оценка рисков ra и bia
ID Бизнес-операции |
Бизнес-операция |
Оценка целостности |
Оценка конфиденциальности |
Оценка доступности |
Оценка достоверности |
Общая оценка |
БО1 |
Техническая поддержка |
2 |
1 |
2 |
3 |
2 |
БО2 |
Бухгалтерский учет |
3 |
2 |
2 |
3 |
2,5 |
БО3 |
Бухгалтерский учет |
3 |
2 |
2 |
3 |
2,5 |
БО4 |
Обеспечение безопасности |
3 |
3 |
3 |
3 |
3 |
БО5 |
Бухгалтерский учет |
2 |
2 |
2 |
3 |
2,25 |
9. Определение rto и rpo ит-сервисов
ID Бизнес-операции |
Бизнес-операция |
Данные |
Оборудование |
Персонал |
RPO |
RTP |
БО1 |
Техническая поддержка |
Карта-наряд на выполнение ТО |
Сервер баз данных |
Группа инженеров |
2 часа |
2 часа |
БО2 |
Бухгалтерский учет |
Финансовые документы |
Сервер баз данных |
Бухгалтерский отдел |
2 часа |
4 часа |
БО3 |
Бухгалтерский учет |
Финансовые документы |
Сервер баз данных |
Бухгалтерский отдел |
2 часа |
4 часа |
БО4 |
Обеспечение безопасности |
Информационная структура |
Сервер баз данных |
Группа инженеров |
4 часа |
6 часов |
БО5 |
Бухгалтерский учет |
Финансовые документы |
Сервер баз данных |
Бухгалтерский отдел |
2 часа |
4 часа |
10. Разработка вср ит-сервисов
Номер детальной цели ИТ-контроля |
Название детальной цели контроля |
Описание детальной цели контроля |
DS5.1 |
Управление ИТ безопасность |
Организовать управление ИТ безопасностью на максимально возможном организационном уровне, чтобы действия по обеспечению безопасности соответствовали требованиям бизнеса. |
DS5.2 |
План по ИТ безопасности |
Наличие контролей позволяет убедиться в том, что цели общей политики безопасности корректно отражены в существующих регламентах и стандартах в области безопасности |
ME1.3 |
Мониторинг и оценка эффективности ИТ |
Эффективное управление эффективностью ИТ требует мониторинга. Данный процесс включает в себя определение индикаторов эффективности, систематическую и своевременную отчетность об эффективности. |