12. Идентификация ИТ-процессов
В таблице 12 представлена карта соответствия ИТ-процессов и ИТ-
целей по методике CobIT 5.
Таблица 12 – Соответствие ИТ-процессов и ИТ-целей
|
|
|
|
|
|
|
|
|
P - прямое соответствие, S - |
|
|
|
ИТ-цели (по CobIT 5) |
|
|
||
косвенное соответствие |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Соотвествие |
Следование внешнему |
Управляемы |
Предоставление |
|
Адекватное |
Безопасность |
Обеспечение работы и |
|
между ИТ- и |
законодательству и |
е ИТ-риски |
ИТуслу г |
в |
использование |
обрабатываемой |
поддержка |
|
бизнес |
регу лиру ющим |
|
соответствии |
с |
приложений, |
информации |
бизнеспроцессов, пу тем |
ИТ-процессы (по CobIT 5) |
стратегиями |
требованиям в области ИТ |
|
бизнестребованиями |
информации и |
|
интеграции приложений и |
|
|
|
|||||||
|
и поддержка |
|
|
|
технических |
|
технологий в |
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|||
|
|
бизнессоответствия |
|
|
|
решений |
|
бизнеспроцессы |
|
|
|
|
|
|
|
|
|
Обеспечение оптимизации |
|
P |
P |
|
|
|
P |
S |
рисков |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление архитектурой |
S |
|
P |
S |
|
P |
P |
P |
предприятия |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление персоналом |
S |
|
S |
|
|
|
P |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление соглашениями об |
|
|
S |
P |
|
P |
|
|
у слу гах |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление качеством |
P |
P |
|
P |
|
|
P |
S |
|
|
|
|
|
|
|
|
|
Управление безопасностью |
P |
|
P |
|
|
S |
|
|
|
|
|
|
|
|
|
|
|
Управление выбором и |
|
|
S |
|
|
S |
|
|
внедрением решений |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление непрерывностью |
P |
S |
|
P |
|
|
|
S |
|
|
|
|
|
|
|
|
|
13. Определение RTO и RPO ИТ-сервисов
RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.
RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.
В таблице 13 RTO и RPO для ИТ-сервисов компании (приведено соответствие с бизнес-операциями и возможными угрозами).
Данные представлены на основании соглашения о времени обслуживания внутри организации.
Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов
ID |
ID |
|
|
|
ID |
|
|
|
|
|
|
ИТсервис |
Бизнес-операция |
|
Угрозы |
|
Угроза |
|
RTO, ч. |
RPO, ч. |
|||
BOP |
|
|
|
||||||||
а |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
S1 |
BOP-1 Администрирование web-сервера |
|
T -SY-1 |
Угроза вирусного заражения |
|
|
|
|
|||
|
|
|
|
|
T-BD-2 |
DDoS-атака на сервер |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 ч. |
4 |
ч. |
|
|
|
|
|
T -P-1 |
Персонал записывает пароли на |
|
|
|
||
|
|
|
|
|
|
бумаге |
|
|
|
|
|
S1 |
BOP-2 Мониторинг web-сервера |
|
T -SY-1 |
Угроза вирусного заражения |
|
|
|
|
|||
|
|
|
|
|
T-EQ-2 |
Ошибки в настройке системы |
|
4 ч. |
6 |
ч. |
|
|
|
|
|
|
|
|
|
|
|||
S2 |
BOP-3 Мониторинг работы сервера |
|
T -SY-1 |
Угроза вирусного заражения |
|
|
|
|
|||
|
|
|
|
|
T-EQ-2 |
Ошибки в настройке системы |
|
4 ч. |
6 |
ч. |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
T-CC-1 |
Ошибки конфигурирования |
|
|
|
|
|
S3 |
BOP-4 Внесение данных в БД |
|
T -SY-1 |
Угроза вирусного заражения |
|
|
|
|
|||
|
|
|
|
|
T-BD-1 |
Угроза уязвимостей СУБД |
|
4 ч. |
4 |
ч. |
|
|
|
|
|
|
T -P-2 |
Персонал забывает пароли |
|
|
|
|
|
S4 |
BOP-5 Принятие заказов |
|
T -SY-1 |
Угроза вирусного заражения |
|
4 ч. |
6 |
ч. |
|||
S5 |
BOP-6 Удаленное |
централизованное |
T -SY-1 |
Угроза вирусного заражения |
|
|
|
|
|||
|
|
управление |
установкой |
и |
T-BD-4 |
НСД |
|
|
|
|
|
|
|
обновлением |
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ПО |
|
|
T-EQ-3 |
Слабые пароли |
|
2 ч. |
6 |
ч. |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
T -P-2 |
Персонал забывает пароли |
|
|
|
|
|
S3 |
BOP-7 Регистрация |
и идентификация |
|
T-EQ-1 |
Пользователь совершает действ ия, |
|
|
|
|||
|
|
пользователей |
|
|
не предусмотренные инструкциями |
4 ч. |
4 |
ч. |
|||
|
|
|
|
|
T-CC-2 |
Обход |
злоумышленником |
з ащиты |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
сетевого экрана |
|
|
|
|
|
По RTO и RPO система ООО «Скайнэт» для обеспечения непрерывности бизнес-процессов и сервисов использует технологию для запуска сервисов из резервной копии в аварийной ситуации.
Для каждого сервиса производится резервное копирование ответственность за которое возложена на технический отдел.
14. Разработка BCP ИТ-сервисов
Описание детальных целей контроля (взятых из CobIT 4.1),
перечисленных ранее, представлено в таблице 14.
Таблица 14 – Цели ИТ-контроля
ID детальной |
|
|
|
|
|
||
цели |
Детальная цель контроля (CobIT 4.1) |
Описание детальной цели контроля |
|
ИТконтрол |
|||
|
|
||
|
|
||
я |
|
|
|
|
|
|
|
DS 5.1. |
|
Управление ИТ-безопасностью |
|
Организовать у правление ИТ-безопасностью на максимально возможном организационном у ровне, чтобы |
|
|
|
|
|
|||
|
|
|
|
|
действия по обеспечению безопасности соответствовали требованиям бизнеса |
|
|
|
|
|
|
|
|
|
DS 5.6. |
|
Определение инцидентов в сфере безопасности |
|
Четко определеить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их |
|
|
|
|
|
|
можно было классифицировать и у странить в процессе управления проблемами и инцидентами |
|
|
|
|
|
|
|
|
|
DS 3.5. |
|
Мониторинг и отчетность |
|
Осу ществлять постоянный мониторинг производительности и мощностей ИТ ресурсов. Полученные данные |
|
|
|
|
|
|
должны слу жить обеспечению и настройке текущей производительности ИТ и учитывать такие вопросы как |
|
|
|
|
|
|
у стойчивость, вероятность инцидентов, текущая и проектная эксплуатационная нагру зка, планы хранения |
|
|
|
|
|
|
ресу рсов |
|
|
|
|
|
|
|
|
|
DS 5.3. |
|
Управление идентификацией |
|
следу ет убедиться в том, что все пользователи (внутренние, внешние и временные) и их деятельность в ИТ |
|
|
|
|
|
|
системах |
|
|
|
|
|
|
(приложениях, ИТ среде, системных операциях) может быть однозначно идентифицирована |
|
|
|
|
|
|
|
|
|
AI 2.2. |
|
Детальный дизайн приложений |
|
Подготовить детальный дизайн приложения и технические требования к программному обеспечению |
|
|
|
|
|
|
|
|
|
AI 3.3. |
|
Обслу живание инфраструктуры |
|
Разработать стратегию. И план обслуживания инфраструктуры и у бедиться что изменения находятся под |
|
|
|
|
|
|
контролем в соответствии с принятой в организации процеду рой управления. Включить в план периодические |
|
|
|
|
|
|
оценки соответствия бизнес-целям |
|
|
|
|
|
|
|
|
|
DS 5.4. |
|
Управление у четными записями пользователей |
|
Обеспечить у правление запросами6 созданием, приостановкой, изменением и ликвидацией у четных записей |
|
|
|
|
|
|
пользователей и связанных с ними полномочий с помощью комплекса процеду |
|
|
|
|
|
|
|
|
|
DS 5.6. |
|
Определение инцидентов в сфере безопасности |
|
Четко определить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно |
|
|
|
|
|
|
было классифицировать и у странить в процессе управления проблемами и инцидентами |
|
|
|
|
|
|
|
|
|
DS 5.10. |
|
Сетевая безопаснсость |
|
Применять технологии обеспечения безопасности и соответству ющие процеду ры у правления (межсетевые |
|
|
|
|
|
|
экраны6 у стройства для безопасности, сетевой сегментации и системы обнаружения вторжений) для |
|
|
|
|
|
|
авторизации досту па и контроля информационных межсетевых потоков |
|
|
|
|
|
|
|
|
|
DS 7.2. |
|
Проведение тренингов и обу чение |
|
Обу чение и тренинг основывются на выявленных потребностях, определении целевы гру пп и их состава, |
|
|
|
|
|
|
эффективных механизмах организации у чебного процесса и контролем у чпеваемости. |
|
|
|
|
|
|
|
|
15. Разработка плана тестирования BCP
Описание проводимого на предприятии контроля для угроз, с учетом
целей контроля по CobIT 4.1, с оценкой эффективности контроля приведены
в таблице 15.
Таблица 15 – Описание и оценка эффективности контроля
|
|
|
|
|
|
|
|
|
|
|
Оценка эффективности контролей (0 - |
|
ID риска |
Угроза |
|
Высокоуровневая цель контроля |
|
|
|
Детальная цель контроля |
Описание контроля |
контроль отсутствует, 3 - контроль |
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
внедрен и эффективен) |
|
RSK-1 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем DS 5. |
1. |
Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
||
|
|
|
|
|
|
|
|
|
|
service) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
RSK-2 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем DS 5. |
1. |
Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
||
|
|
|
|
|
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-3 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем DS 5. |
1. |
Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
||
|
|
|
|
|
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-4 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем DS 5. |
1. |
Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
||
|
|
|
|
|
|
|
|
|
|
service) |
|
|
RSK-5 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем DS 5. |
1. |
Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
||
|
|
|
|
|
|
|
|
|
|
service) |
|
|
|
|
|
|
|
|
|
|
|
||
|
RSK-6 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем DS 5. |
1. |
Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
||
|
|
|
|
|
|
|
|
|
|
service) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
RSK-7 |
DDoS-атака на сервер |
DS 3. |
Управление производительностью DS 3. |
5. |
Мониторинг и отчетность |
Установлено средство мониторинга "Pingdom" |
2 |
|||
|
|
|
и мощностями |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-8 |
Угроза уязвимостей СУБД |
DS |
5. |
Обеспечение безопасности систем DS 5. |
6. |
Определение инцидентов в сфере |
Установлено средство мониторинга "Pingdom", Установлены |
1 |
||
|
|
|
|
|
|
|
безопасности |
антивирусное ПО (Cloud MTS Anti -virus protection service) |
|
||
|
RSK-9 |
НСД |
DS |
5. |
Обеспечение безопасности систем DS 5. |
3. |
Управление идентификацией |
На всех компьютерах, установлены пароли, выдающиеся |
2 |
||
|
|
|
|
|
|
|
|
|
|
сотруднику при устройстве, пароли обновляются |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
RSK-10 |
Ошибки в настройке системы |
AI 3. Приобретение и обслуживание |
|
AI 3.3. Обслуживание инфраструктуры |
Установлен модуль "Администратор", включающий базовый |
2 |
||||
|
|
|
технологий инфраструктуры |
|
|
|
|
контроль за настройкой системы |
|
||
|
|
|
|
|
|
|
|
||||
|
RSK-11 |
Пользователь совершает |
AI |
2. Приобретение и поддержка AI 2.2. Детальный дизайн приложений |
Используются проверенные отечественные программы |
1 |
|||||
|
|
действия, не предусмотренные |
программных приложений |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
RSK-12 |
инструкциями |
AI 3. Приобретение и обслуживание |
|
AI 3.3. Обслуживание инфраструктуры |
Установлен модуль "Администратор", включающий базовый |
2 |
||||
|
|
Ошибки в настройке системы |
технологий инфраструктуры |
|
|
|
|
контроль за настройкой системы |
|
||
|
|
|
|
|
|
|
|
|
|
||
|
RSK-13 |
Слабые пароли |
DS |
5. |
Обеспечение безопасности систем DS 5. |
4. |
Управление учетными записями |
Вводятся требования к паролю |
|
||
|
|
|
|
|
|
|
пользователей |
|
3 |
||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-14 |
Ошибки конфигурирования |
DS |
5. |
Обеспечение безопасности систем DS 5. |
10. Сетевая безопаснсость |
За настройкой сетевого оборудования наблюдает тех. специалист |
2 |
|||
|
|
|
|
|
|
|
|
|
|||
|
RSK-15 |
Обход злоумышленником защиты DS |
5. |
Обеспечение безопасности систем DS 5. |
6. |
Определение инцидентов в сфере |
Используются отечественные алгоритмы шифрования |
|
|||
|
|
сетевого экрана |
|
|
|
|
безопасности |
|
1 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-16 |
Персонал забывает пароли |
DS |
5. |
Обеспечение безопасности систем DS 5. |
4. |
Управление учетными записями |
Пароли можно восстановить по заявлению |
|
||
|
|
|
|
|
|
|
пользователей |
|
2 |
||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-17 |
Персонал забывает пароли |
DS |
5. |
Обеспечение безопасности систем DS 5. |
4. |
Управление учетными записями |
Пароли можно восстановить по заявлению |
|
||
|
|
|
|
|
|
|
пользователей |
|
|
||
|
|
|
|
|
|
|
|
2 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-18 |
Персонал записывает пароли на |
DS |
7. |
Обучение и подготовка |
|
DS 7. |
2. |
Проведение тренингов и обучение |
Работникам делаются выговоры |
|
|
|
бумаге |
пользователей |
|
|
|
|
|
1 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
16. Оценка воздействия угроз на бизнес BIA
Для оценки воздействия перечисленных и проиндексированных в
предыдущих пунктах угроз на бизнес построена диаграмма (рисунок 1).
Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).
Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.
Численные значения для построения оценочных точек взяты из сводной таблицы (пункт 10).
Рисунок 1 – Оценка воздействия угроз на бизнес BIA
ВЫВОДЫ
По результатам оценки (рисунок 1) угрозы распределились на 4
категории:
1)Тяжелые последствия и низкая вероятность реализации –
применяется планирование контрмер: в эту категорию попадают «Угроза уязвимостей СУБД», «Несанкционированный доступ к системе», «Хищение носителей информации», «Персонал, записывающий пароли на бумаге»
2)Лѐгкие последствия и низкая вероятность реализации –
применяется принятие рисков: в эту категорию попадают «Ошибки настройки сервисов», «Слабые пароли», «ошибка настройки системы», «Совершение пользователем непредусмотренных инструкциями действий»;
3)Лѐгкие последствия и высокая вероятность реализации –
применяется контроль и управление рисками: в эту категорию попадают угрозы «Персонал забывает пароли», «Персонал хранит пароли на бумаге», «Персонал не обучен быстрому скоординированному решению возникших проблем», «DDoS-атаки на веб сервер», «Угроза вирусного заражения» и «персонал, забывающий пароли»;
4)Тяжелые последствия и высокая вероятность реализации –
применяется передача рисков (ответственности): в эту категорию попадает
угроза «Серьезные ошибки конфигурирования».