- •Санкт-петербургский государственный
- •Тема: «Цели безопасности и классификация событий риска»
- •Идентификация бизнес-целей организации в части вср
- •Идентификация значимых бизнес-процессов
- •Идентификация бизнес-операций
- •Идентификация it-сервисов
- •Оценка значимости бизнес-операций
- •Формирование перечня it-ресурсов
- •Идентификация перечня угроз
- •Расчет риска
- •Оценка вероятности и последствий угроз
- •Сводная оценка ra и bia
- •Идентификация ит-целей в части bcp
- •Идентификация ит-процессов
- •Определение rto и rpo ит-сервисов
- •Разработка bcp ит-сервисов
- •Разработка плана тестирования bcp
- •Оценка воздействия угроз на бизнес bia
Разработка bcp ит-сервисов
Описание детальных целей контроля (взятых из CobIT 4.1), перечисленных ранее, представлено в таблице 14.
Таблица 14 – Цели ИТ-контроля
ID детальной цели ИТконтроля |
Детальная цель контроля (CobIT 4.1) |
Описание детальной цели контроля |
DS 5.1. |
Управление ИТ-безопасностью |
Организовать управление ИТ-безопасностью на максимально возможном организационном уровне, чтобы действия по обеспечению безопасности соответствовали требованиям бизнеса |
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определеить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно было классифицировать и устранить в процессе управления проблемами и инцидентами |
DS 3.5. |
Мониторинг и отчетность |
Осуществлять постоянный мониторинг производительности и мощностей ИТ ресурсов. Полученные данные должны служить обеспечению и настройке текущей производительности ИТ и учитывать такие вопросы как устойчивость, вероятность инцидентов, текущая и проектная эксплуатационная нагрузка, планы хранения ресурсов |
DS 5.3. |
Управление идентификацией |
следует убедиться в том, что все пользователи (внутренние, внешние и временные) и их деятельность в ИТ системах (приложениях, ИТ среде, системных операциях) может быть однозначно идентифицирована |
AI 2.2. |
Детальный дизайн приложений |
Подготовить детальный дизайн приложения и технические требования к программному обеспечению |
AI 3.3. |
Обслуживание инфраструктуры |
Разработать стратегию. И план обслуживания инфраструктуры и убедиться что изменения находятся под контролем в соответствии с принятой в организации процедурой управления. Включить в план периодические оценки соответствия бизнес-целям |
DS 5.4. |
Управление учетными записями пользователей |
Обеспечить управление запросами6 созданием, приостановкой, изменением и ликвидацией учетных записей пользователей и связанных с ними полномочий с помощью комплекса процеду |
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно было классифицировать и устранить в процессе управления проблемами и инцидентами |
DS 5.10. |
Сетевая безопаснсость |
Применять технологии обеспечения безопасности и соответствующие процедуры управления (межсетевые экраны6 устройства для безопасности, сетевой сегментации и системы обнаружения вторжений) для авторизации доступа и контроля информационных межсетевых потоков |
DS 7.2. |
Проведение тренингов и обучение |
Обучение и тренинг основывются на выявленных потребностях, определении целевы групп и их состава, эффективных механизмах организации учебного процесса и контролем учпеваемости. |