16. Оценка воздействия угроз на бизнес bia

Для оценки воздействия перечисленных и проиндексированных в предыдущих пунктах угроз на бизнес построена диаграмма (рисунок 1). Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).

Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.

Численные значения для построения оценочных точек взяты из сводной таблицы (пункт 10).

Рисунок 1 – Оценка воздействия угроз на бизнес BIA

Выводы.

По результатам оценки (рисунок 1) угрозы распределились на 4 категории:

1. Тяжелые последствия и низкая вероятность реализации – применяется планирование контрмер: в эту категорию попадают «Угроза уязвимостей СУБД», «Несканкционированный доступ к системе», «Хищение носителей информации», «Персонал, записывающий пароли на бумаге»

2. Лёгкие последствия и низкая вероятность реализации – применяется принятие рисков: в эту категорию попадают «Ошибки настройки сервисов», «Слабые пароли», «ошибка настройки системы», «Совершение пользователем непредусмотренных инструкциями действий»;

3. Лёгкие последствия и высокая вероятность реализации – применяется контроль и управление рисками: в эту категорию попадают угрозы «Персонал забывает пароли», «Персонал хранит пароли на бумаге», «Персонал не обучен быстрому скоординированному решению возникших проблем», «DDoS-атаки на веб сервер», «Угроза вирусного заражения» и «персонал, забывающий пароли»;

4. Тяжелые последствия и высокая вероятность реализации – применяется передача рисков (ответственности): в эту категорию попадает угроза «Серьезные ошибки конфигурирования».