МИНОБРНАУКИ РОССИИ

Санкт-Петербургский государственный

электротехнический университет

«ЛЭТИ» им. В.И. Ульянова (Ленина)

Кафедра ИБ

отчет

по практической работе №13

по дисциплине «Основы информационной безопасности»

Тема: Цели безопасности и классификация событий риска.

Студент гр.
Преподаватель

Санкт-Петербург

2023

Цель: Изучение вида работ по классификации инцидентов информационной безопасности на основании требований стандарта гост р 18044.

1. Идентификация бизнес-целей организации в части ВСР

Основные бизнес-требования:

ID	Категория	Бизнес-цель
BG1	Пользователи	Непрерывность и бесперебойность оказания услуг
BG2		Максимально полное сопровождение учебных программ ОЗОН эл. ресурсами
BG3	Финансы	Обеспечение уникальности и конкурентоспособности услуг, включенных в платную подписку
BG4		Соответствие внешним законам и регулирующим нормам

2. Идентификация значимых бизнес-процессов

Бизнес-процессы и владельцы, реализующие бизнес-цели:

Бизнес- цель	ID	Регион	Процесс	Блок владельца процесса	Должность владельца процесса
BG1	BP1	г. Пенза	Обеспечение круглосуточного онлайн-доступа к чтению эл. книг, хранящихся в	Блок администрирования	Администратор
BG2, BG4	BP2	г. Пенза	Добавление и хранение книг на общем сервере	Блок каталогизации и хранения электронных ресурсов	Каталогизатор
	BP3	г. Пенза	Автоматизированный поиск и обработка ресурсов	Блок каталогизации и хранения электронных ресурсов	Каталогизатор
	BP4	г. Пенза	Доступ к через ПК из читального зала	Блок администрирования	Администратор
	BP5	г. Пенза	Регистрация и идентификация пользователей в	Блок администрирования	Администратор
BG3	BP6	г. Пенза	Приобретение платного абонемента	Финансовый блок	Финансовый отдел ОЗОН

3. Идентификация бизнес-операций

В рамках значимых бизнес-процессов, для каждого из них обозначены действия, прикладные системы, идентифицированы сервисы и бизнес- операции. Также перечислены участвующие в бизнес-процессах данные.

4. Идентификация ИТ-сервисов

Для каждой идентифицированной ранее бизнес-операции в таблице ниже проидентифицированы участвующие в них ресурсы. Оценка значимости бизнес-операций проведена в пункте 5.

Оценка значимости бизнес-операций

В таблице ниже проведена оценка значимости идентифицированных ранее бизнес-операций.

Формирование перечня ИТ-ресурсов

В таблице ниже представлен полный перечень ИТ-ресурсов ОЗОН, для них указаны тип, использующие сервисы и описание.

Идентификация перечня угроз ИТ

В таблице ниже для каждого типа ИТ-ресурсов проидентифицированы угрозы безопасности и детальные цели контроля (из CobIT 4.1).

Оценка вероятности и последствий угроз для ИТ

В соответствии с опросником в таблице ниже представлена оценка вероятности и влияния проидентифицированных ранее угроз.

Расчет риска

В таблице ниже представлен вопросник, определяющий по уровням вероятность и влияние угроз ИТ.

Сводная оценка рисков RA и BIA

В таблице ниже проидентифицированы риски, для них указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из пункта 15, по оценке угроз из пункта 9, по оценке значимости из пункта 5. Общая оценка риска проведена на основании оценки значимости и оценки угроз (сумма/2).

Идентификация ИТ-целей в части BCP

В таблице ниже представлена карта соответствия ИТ-целей и бизнес-целей по методике CobIT 5.

Идентификация ИТ-процессов

В таблице ниже представлена карта соответствия ИТ-процессов и ИТ-целей по методике CobIT 5.

Определение RTO и RPO ИТ-сервисов

RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.

RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.

В таблице 13 RTO и RPO для ИТ-сервисов ОЗОН (приведено соответствие с бизнес-операциями и возможными угрозами).

Данные представлены на основании соглашения о времени обслуживания внутри организации ОЗОН

По RTO и RPO система ОЗОН для обеспечения непрерывности бизнес-процессов и сервисов использует технологию запуска сервисов из резервной копии в аварийной ситуации.

Для каждого сервиса (SER-1, SER-2, SER-3, SER-4 и SER-5) производится резервное копирование (ответственность на отделе администрирования).

14. Разработка BCP ИТ-сервисов

Описание детальных целей контроля (взятых из CobIT 4.1), перечисленных ранее, представлено в таблице 14.

14. Разработка плана тестирования BCP

Описание проводимого в ОЗОН контроля для угроз, с учетом целей контроля по CobIT 4.1, с оценкой эффективности контроля приведены в таблице 15.

Оценка воздействия угроз на бизнес BIA

Для оценки воздействия перечисленных и проиндексированных в предыдущих пунктах угроз на бизнес построена диаграмма. Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).

Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.

Численные значения для построения оценочных точек взяты из сводной таблицы.

Выводы.

По результатам оценки угрозы распределились на 4 категории:

1. Тяжелые последствия и низкая вероятность реализации – применяется планирование контрмер: в эту категорию попадают «Угроза уязвимостей СУБД», «Взлом серверов», «Хищение носителей информации», «Отсутствие защиты серверов от скачков напряжения» и «Обход злоумышленниками защитных средств»;

2. Лёгкие последствия и низкая вероятность реализации – применяется принятие рисков: в эту категорию попадают «НСД посторонних

лиц», «Угроза выявления взломщиком пользователей и групп», «Неправильная настройка администратором», «Совершение пользователем непредусмотренных инструкциями действий» и

«Взлом через маршрутизатор»;

3. Лёгкие последствия и высокая вероятность реализации – применяется контроль и управление рисками: в эту категорию попадают угрозы «Персонал забывает пароли», «Персонал хранит пароли на бумаге»,

«Персонал не обучен быстрому скоординированному решению возникших проблем», «Ошибки конфигурирования сетевого оборудования», «Угроза вирусного заражения» и «Небезопасная настройка серверов»;

4. Тяжелые последствия и высокая вероятность реализации – применяется передача рисков (ответственности): в эту категорию попадает угроза «Слабые пароли».