МИНОБРНАУКИ РОССИИ

САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

«ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА)

Кафедра информационной безопасности

ПРАКТИЧЕСКАЯ РАБОТА №13

по дисциплине «Основы информационной безопасности» Тема: «Цели безопасности и классификация событий риска»

Студент гр.

Преподаватель

Санкт-Петербург 2023

Постановка задачи

1. Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.

2. Цель работы: изучение вида работ по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р 18044.

3. Отчет выполняется с проведением анализа всех рисков с применением реагирования на основе диаграммы вероятность угрозы – величина ущерба.

4. Материал должен содержать титульный лист, постановку задачи, текст и таблицы согласно нормативным документам.

Описываемый объект – ЭСТ (электронная система торговли).

1. Идентификация бизнес-целей организации в части BCP

В основе метода требования бизнеса. Основные бизнес-требования для ЭСТ сформулированы в таблице 1.

Таблица 1 – Идентификация бизнес-целей организации

ID	Категория	Бизнес-цель
BG1	Пользователи	Непрерывность и бесперебойность оказания услуг
BG2		Максимально полное сопровождение клиентов при пользовании продуктами компании
BG3	Финансы	Обеспечение уникальности и конкурентоспособности услуг, включенных в платную подписку
BG4		Соответствие внешним законам и регулирующим нормам

2. Идентификация значимых бизнес-процессов

В таблице 2 представлены основные бизнес-процессы и их владельцы, реализующие бизнес-цели.

Таблица 2 – Идентификация значимых бизнес-процессов

Бизнес- цель	ID	Регион	Процесс	Блок владельца процесса	Должность владельца процесса
BG1	BP1	г. Пенза	Обеспечение круглосуточного онлайн-доступа к чтению эл. книг, хранящихся в ЭСТ	Блок администрирования	Администратор ЭСТ
BG2, BG4	BP2	г. Пенза	Добавление и хранение книг на общем сервере ЭСТ	Блок каталогизации и хранения электронных ресурсов	Каталогизатор ЭСТ
	BP3	г. Пенза	Автоматизированный поиск и обработка ресурсов ЭСТ	Блок каталогизации и хранения электронных ресурсов	Каталогизатор ЭСТ
	BP4	г. Пенза	Доступ к ЭСТ через ПК	Блок администрирования	Администратор ЭСТ
	BP5	г. Пенза	Регистрация и идентификация пользователей в ЭСТ	Блок администрирования	Администратор ЭСТ
BG3	BP6	г. Пенза	Приобретение продукции компании	Финансовый блок	Финансовый отдел

3. Идентификация бизнес-операций

В рамках значимых бизнес-процессов, для каждого из них обозначены действия, прикладные системы, идентифицированы сервисы и бизнес- операции. Также перечислены участвующие в бизнес-процессах данные (таблица 3).

Таблица 3 (часть 1) – Идентификация бизнес-операций

Таблица 3 (часть 2) – Идентификация бизнес-операций

4. Идентификация ИТ-сервисов

Для каждой идентифицированной ранее бизнес-операции в таблице 4 проидентифицированы участвующие в них ресурсы. Оценка значимости бизнес-операций проведена в пункте 5.

Таблица 4 (часть 1) – Идентификация ИТ-сервисов

Таблица 4 (часть 2) – Идентификация ИТ-сервисов

5. Оценка значимости бизнес-операций

В таблице 5 проведена оценка значимости идентифицированных ранее бизнес-операций.

Таблица 5 – Оценка значимости бизнес-операций

6. Формирование перечня ИТ-ресурсов

В таблице 6 представлен полный перечень ИТ-ресурсов ЭСТ, для них указаны тип, использующие сервисы и описание.

Таблица 6 – Формирование перечня ИТ-ресурсов

7. Идентификация перечня угроз ИТ

В таблице 7 для каждого типа ИТ-ресурсов проидентифицированы угрозы безопасности и детальные цели контроля (из CobIT 4.1).

Таблица 7 – Идентификация перечня угроз ИТ

8. Оценка вероятности и последствий угроз для ИТ

В соответствии с опросником (пункт 9) в таблице 8 представлена оценка вероятности и влияния проидентифицированных ранее угроз.

Таблица 8 – Оценка вероятности и последствий угроз для ИТ

9. Расчет риска

В таблице 9 представлен вопросник, определяющий по уровням вероятность и влияние угроз ИТ.

Таблица 9 – Вопросник для оценки вероятности и последствий угроз

10. Сводная оценка рисков RA и BIA

В таблице 10 проидентифицированы риски, для них указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из пункта 15, по оценке угроз из пункта 9, по оценке значимости из пункта 5. Общая оценка риска проведена на основании оценки значимости и оценки угроз (сумма/2).

Таблица 10 (часть 1) – Сводная оценка рисков с учетом ценности ИТ-

сервиса

Таблица 10 (часть 2) – Сводная оценка рисков с учетом ценности ИТ-

сервиса

11. Идентификация ИТ-целей в части BCP

В таблице 11 представлена карта соответствия ИТ-целей и бизнес-целей по методике CobIT 5.

Таблица 11 – Соответствие ИТ- и бизнес-целей

12. Идентификация ИТ-процессов

В таблице 12 представлена карта соответствия ИТ-процессов и ИТ-целей по методике CobIT 5.

Таблица 12 – Соответствие ИТ-процессов и ИТ-целей

13. Определение RTO и RPO ИТ-сервисов

RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.

RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.

В таблице 13 RTO и RPO для ИТ-сервисов ЭСТ (приведено соответствие с бизнес-операциями и возможными угрозами).

Данные представлены на основании соглашения о времени обслуживания внутри организации.

Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов

По RTO и RPO система ЭСТ для обеспечения непрерывности бизнес-процессов и сервисов использует технологию запуска сервисов из резервной копии в аварийной ситуации.

Для каждого сервиса (SER-1, SER-2, SER-3, SER-4 и SER-5) производится резервное копирование (ответственность на отделе администрирования).

14. Разработка BCP ИТ-сервисов

Описание детальных целей контроля (взятых из CobIT 4.1), перечисленных ранее, представлено в таблице 14.

Таблица 14 – Цели ИТ-контроля

15. Разработка плана тестирования BCP

Описание проводимого в ЭСТ контроля для угроз, с учетом целей контроля по CobIT 4.1, с оценкой эффективности контроля приведены в таблице 15.

Таблица 15 – Описание и оценка эффективности контроля

16. Оценка воздействия угроз на бизнес BIA

Для оценки воздействия перечисленных и проиндексированных в предыдущих пунктах угроз на бизнес построена диаграмма (рисунок 1). Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).

Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.

Численные значения для построения оценочных точек взяты из сводной таблицы (пункт 10).

Рисунок 1 – Оценка воздействия угроз на бизнес BIA

Выводы.

По результатам оценки (рисунок 1) угрозы распределились на 4 категории:

1. Тяжелые последствия и низкая вероятность реализации – применяется планирование контрмер: в эту категорию попадают

«Угроза уязвимостей СУБД», «Взлом серверов», «Хищение носителей информации», «Отсутствие защиты серверов от скачков напряжения» и «Обход злоумышленниками защитных средств»;

2. Лёгкие последствия и низкая вероятность реализации – применяется принятие рисков: в эту категорию попадают «НСД посторонних

лиц», «Угроза выявления взломщиком пользователей и групп»,

«Неправильная настройка администратором», «Совершение пользователем непредусмотренных инструкциями действий» и

«Взлом через маршрутизатор»;

3. Лёгкие последствия и высокая вероятность реализации – применяется контроль и управление рисками: в эту категорию попадают угрозы

«Персонал забывает пароли», «Персонал хранит пароли на бумаге»,

«Персонал не обучен быстрому скоординированному решению возникших проблем», «Ошибки конфигурирования сетевого оборудования», «Угроза вирусного заражения» и «Небезопасная настройка серверов»;

4. Тяжелые последствия и высокая вероятность реализации – применяется передача рисков (ответственности): в эту категорию попадает угроза «Слабые пароли».