Таблица 12 – Соответствие ИТ-процессов и ИТ-целей
P - прямое соответствие, S - |
|
|
|
ИТ-цели (по CobIT 5) |
|
|
||
косвенное соответствие |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Соотвествие |
Следование внешнему |
Управляемы |
Предоставление |
|
Адекватное |
Безопасность |
Обеспечение работы и |
|
между ИТ- и |
законодательству и |
е ИТ-риски |
ИТуслуг |
в |
использование |
обрабатываемой |
поддержка |
|
бизнес |
регулирующим |
|
соответствии |
с |
приложений, |
информации |
бизнеспроцессов, путем |
ИТ-процессы (по CobIT 5) |
стратегиями |
требованиям в области ИТ |
|
бизнестребованиями |
информации и |
|
интеграции приложений и |
|
|
|
и поддержка |
|
|
|
технических |
|
технологий в |
|
|
бизнессоответствия |
|
|
|
решений |
|
бизнеспроцессы |
|
|
|
|
|
|
|
|
|
Обеспечение оптимизации |
|
P |
P |
|
|
|
P |
S |
рисков |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление архитектурой |
S |
|
P |
S |
|
P |
P |
P |
предприятия |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление персоналом |
S |
|
S |
|
|
|
P |
|
|
|
|
|
|
|
|
|
|
Управление соглашениями об |
|
|
S |
P |
|
P |
|
|
услугах |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление качеством |
P |
P |
|
P |
|
|
P |
S |
|
|
|
|
|
|
|
|
|
Управление безопасностью |
P |
|
P |
|
|
S |
|
|
|
|
|
|
|
|
|
|
|
Управление выбором и |
|
|
S |
|
|
S |
|
|
внедрением решений |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Управление непрерывностью |
P |
S |
|
P |
|
|
|
S |
|
|
|
|
|
|
|
|
|
13. Определение RTO и RPO ИТ-сервисов
RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.
RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.
В таблице 13 RTO и RPO для ИТ-сервисов компании (приведено соответствие с бизнес-операциями и возможными угрозами).
Данные представлены на основании соглашения о времени обслуживания внутри организации.
Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов
ID |
ID |
|
ID |
|
|
|
|
ИТсервис |
Бизнес-операция |
Угрозы |
Угроза |
RTO, ч. |
RPO, ч. |
||
BOP |
|||||||
а |
|
|
|
|
|
|
|
S1 |
BOP-1 |
Администрирование web-сервера |
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-BD-2 |
DDoS-атака на сервер |
2 ч. |
4 ч. |
|
|
|
|
|
|
|||
|
|
|
T-P-1 |
Персонал записывает пароли на |
|
|
|
|
|
|
|
бумаге |
|
|
|
|
|
|
|
|
|
|
S1 |
BOP-2 |
Мониторинг web-сервера |
|
|
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
6 ч. |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
T-EQ-2 |
Ошибки в настройке системы |
||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
S2 |
BOP-3 |
Мониторинг работы сервера |
|
|
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-EQ-2 |
Ошибки в настройке системы |
4 ч. |
6 ч. |
|
|
|
|
|
|
T-CC-1 |
Ошибки конфигурирования |
|
|
|
|
|
|
|
|
|
|
|
|
S3 |
BOP-4 |
Внесение данных в БД |
|
|
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
|
|
|
4 ч. |
4 ч. |
|
|
|
|
|
|
T-BD-1 |
Угроза уязвимостей СУБД |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-P-2 |
Персонал забывает пароли |
|
|
|
|
|
|
|
|
|
|
|
|
S4 |
BOP-5 |
Принятие заказов |
|
|
|
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
6 ч. |
|
|
|
|
|
|
|
|
|
|
S5 |
BOP-6 |
Удаленное |
централизованное |
T-SY-1 |
Угроза вирусного заражения |
2 ч. |
6 ч. |
||
|
|
управление |
установкой |
и |
|
|
|
|
|
|
|
T-BD-4 |
НСД |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-EQ-3 |
Слабые пароли |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-P-2 |
Персонал забывает пароли |
|
|
|
|
|
|
|
|
|
|
|
|
S3 |
BOP-7 |
Регистрация и идентификация |
|
|
T-EQ-1 |
Пользователь совершает действия, |
|
|
|
|
|
пользователей |
|
|
|
|
не предусмотренные инструкциями |
4 ч. |
4 ч. |
|
|
|
|
|
|
T-CC-2 |
Обход злоумышленником защиты |
||
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
сетевого экрана |
|
|
По RTO и RPO CRM-система филиала «Карельский» ПАО «Тгк-1» для обеспечения непрерывности бизнес-процессов и сервисов использует технологию для запуска сервисов из резервной копии в аварийной ситуации.
Для каждого сервиса производится резервное копирование ответственность за которое возложена на технический отдел.
14. Разработка BCP ИТ-сервисов
Описание детальных целей контроля (взятых из CobIT 4.1), перечисленных ранее, представлено в таблице 14.
|
|
Таблица 14 – Цели ИТ-контроля |
|
ID детальной |
|
|
|
цели |
Детальная цель контроля (CobIT 4.1) |
Описание детальной цели контроля |
|
ИТконтрол |
|
||
|
|
|
|
я |
|
|
|
DS 5.1. |
Управление ИТ-безопасностью |
Организовать управление ИТ-безопасностью на максимально возможном организационном уровне, чтобы |
|
|
|
действия по обеспечению безопасности соответствовали требованиям бизнеса |
|
|
|
|
|
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определеить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их |
|
|
|
можно было классифицировать и устранить в процессе управления проблемами и инцидентами |
|
|
|
|
|
DS 3.5. |
Мониторинг и отчетность |
Осуществлять постоянный мониторинг производительности и мощностей ИТ ресурсов. Полученные данные |
|
|
|
должны служить обеспечению и настройке текущей производительности ИТ и учитывать такие вопросы как |
|
|
|
устойчивость, вероятность инцидентов, текущая и проектная эксплуатационная нагрузка, планы хранения |
|
|
|
ресурсов |
|
DS 5.3. |
Управление идентификацией |
следует убедиться в том, что все пользователи (внутренние, внешние и временные) и их деятельность в ИТ |
|
|
|
системах |
|
|
|
(приложениях, ИТ среде, системных операциях) может быть однозначно идентифицирована |
|
AI 2.2. |
Детальный дизайн приложений |
Подготовить детальный дизайн приложения и технические требования к программному обеспечению |
|
|
|
|
|
AI 3.3. |
Обслуживание инфраструктуры |
Разработать стратегию. И план обслуживания инфраструктуры и убедиться что изменения находятся под |
|
|
|
контролем в соответствии с принятой в организации процедурой управления. Включить в план периодические |
|
|
|
оценки соответствия бизнес-целям |
|
DS 5.4. |
Управление учетными записями пользователей |
Обеспечить управление запросами6 созданием, приостановкой, изменением и ликвидацией учетных записей |
|
|
|
пользователей и связанных с ними полномочий с помощью комплекса процеду |
|
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно |
|
|
|
было классифицировать и устранить в процессе управления проблемами и инцидентами |
|
DS 5.10. |
Сетевая безопаснсость |
Применять технологии обеспечения безопасности и соответствующие процедуры управления (межсетевые |
|
|
|
экраны6 устройства для безопасности, сетевой сегментации и системы обнаружения вторжений) для |
|
|
|
авторизации доступа и контроля информационных межсетевых потоков |
DS 7.2. |
Проведение тренингов и обучение |
Обучение и тренинг основывются на выявленных потребностях, определении целевы групп и их состава, |
|
|
эффективных механизмах организации учебного процесса и контролем учпеваемости. |
15. Разработка плана тестирования BCP
Описание проводимого на предприятии контроля для угроз, с учетом целей контроля по CobIT 4.1, с оценкой эффективности контроля приведены в таблице 15.
Таблица 15 – Описание и оценка эффективности контроля
|
|
|
|
|
|
|
Оценка эффективности контролей (0 - |
ID риска |
Угроза |
|
Высокоуровневая цель контроля |
Детальная цель контроля |
Описание контроля |
контроль отсутствует, 3 - контроль |
|
|
|
|
|
|
|
|
внедрен и эффективен) |
RSK-1 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
|
|
service) |
|
|
|
|
|
|
|
|
|
RSK-2 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
|
|
service) |
|
|
|
|
|
|
|
|
|
RSK-3 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
|
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-4 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
|
|
service) |
|
RSK-5 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
|
|
service) |
|
RSK-6 |
Угроза вирусного заражения |
DS |
5. |
Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
|
|
service) |
|
|
|
|
|
|
|||
RSK-7 |
DDoS-атака на сервер |
DS 3. Управление производительностью DS 3.5. Мониторинг и отчетность |
Установлено средство мониторинга "Pingdom" |
2 |
|||
|
|
и мощностями |
|
|
|
||
RSK-8 |
Угроза уязвимостей СУБД |
DS |
5. |
Обеспечение безопасности систем |
DS 5.6. Определение инцидентов в сфере |
Установлено средство мониторинга "Pingdom", Установлены |
1 |
|
|
|
|
|
безопасности |
антивирусное ПО (Cloud MTS Anti-virus protection service) |
|
RSK-9 |
НСД |
DS |
5. |
Обеспечение безопасности систем |
DS 5.3. Управление идентификацией |
На всех компьютерах, установлены пароли, выдающиеся |
2 |
|
|
|
|
|
|
сотруднику при устройстве, пароли обновляются |
|
RSK-10 |
Ошибки в настройке системы |
AI 3. Приобретение и обслуживание |
AI 3.3. Обслуживание инфраструктуры |
Установлен модуль "Администратор", включающий базовый |
2 |
||
|
|
технологий инфраструктуры |
|
контроль за настройкой системы |
|
||
RSK-11 |
Пользователь совершает |
AI |
|
2. Приобретение и поддержка AI 2.2. Детальный дизайн приложений |
Используются проверенные отечественные программы |
1 |
|
|
действия, не предусмотренные |
программных приложений |
|
|
|
||
RSK-12 |
инструкциями |
AI 3. Приобретение и обслуживание |
AI 3.3. Обслуживание инфраструктуры |
Установлен модуль "Администратор", включающий базовый |
2 |
||
|
Ошибки в настройке системы |
технологий инфраструктуры |
|
контроль за настройкой системы |
|
||
|
|
|
|
|
|
|
|
RSK-13 |
Слабые пароли |
DS |
5. |
Обеспечение безопасности систем |
DS 5.4. Управление учетными записями |
Вводятся требования к паролю |
|
|
|
|
|
|
пользователей |
|
3 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
RSK-14 |
Ошибки конфигурирования |
DS |
5. |
Обеспечение безопасности систем |
DS 5.10. Сетевая безопаснсость |
За настройкой сетевого оборудования наблюдает тех. специалист |
2 |
|
|
|
|
|
|
|
|
RSK-15 |
Обход злоумышленником защиты DS |
5. |
Обеспечение безопасности систем |
DS 5.6. Определение инцидентов в сфере |
Используются отечественные алгоритмы шифрования |
1 |
|
|
сетевого экрана |
|
|
|
безопасности |
|
|
|
|
|
|
|
|
|
|
RSK-16 |
Персонал забывает пароли |
DS |
5. |
Обеспечение безопасности систем |
DS 5.4. Управление учетными записями |
Пароли можно восстановить по заявлению |
2 |
|
|
|
|
|
пользователей |
|
|
|
|
|
|
|
|
|
|
RSK-17 |
Персонал забывает пароли |
DS |
5. |
Обеспечение безопасности систем |
DS 5.4. Управление учетными записями |
Пароли можно восстановить по заявлению |
2 |
|
|
|
|
|
пользователей |
|
|
|
|
|
|
|
|
|
|
RSK-18 |
Персонал записывает пароли на |
DS |
7. |
Обучение и подготовка |
DS 7.2. Проведение тренингов и обучение |
Работникам делаются выговоры |
|
|
бумаге |
пользователей |
|
|
1 |
||
|
|
|
|
|
|
|
|
16. Оценка воздействия угроз на бизнес BIA
Для оценки воздействия перечисленных и проиндексированных в предыдущих пунктах угроз на бизнес построена диаграмма (рисунок 1). Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).
Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.
Численные значения для построения оценочных точек взяты из сводной таблицы (пункт 10).
Рисунок 1 – Оценка воздействия угроз на бизнес BIA
ВЫВОДЫ
По результатам оценки (рисунок 1) угрозы распределились на 4 категории:
1)Тяжелые последствия и низкая вероятность реализации – применяется планирование контрмер: в эту категорию попадают «Угроза уязвимостей СУБД», «Несанкционированный доступ к системе», «Хищение носителей информации», «Персонал, записывающий пароли на бумаге»
2)Лёгкие последствия и низкая вероятность реализации – применяется принятие рисков: в эту категорию попадают «Ошибки настройки сервисов», «Слабые пароли», «ошибка настройки системы», «Совершение пользователем непредусмотренных инструкциями действий»;
3)Лёгкие последствия и высокая вероятность реализации – применяется контроль и управление рисками: в эту категорию попадают угрозы «Персонал забывает пароли», «Персонал хранит пароли на бумаге», «Персонал не обучен быстрому скоординированному решению возникших проблем», «DDoS-атаки на веб сервер», «Угроза вирусного заражения» и «персонал, забывающий пароли»;
4)Тяжелые последствия и высокая вероятность реализации – применяется передача рисков (ответственности): в эту категорию попадает угроза «Серьезные ошибки конфигурирования».