Бизнес цель

Комментарий

Получение прибыли и процветание

BG04. Соответствие внешним законам и

Соответствие законом важно для любого

компании

регулирующим нормам

предприятия, так как оно напрямую влияет

на его работоспособность и имидж.

BG06. Клиентоориентированная сервисная

Доход и процветания любой компании

культура

прежде всего зависит от клиентов, поэтому

клиентоореинтированность является важной

частью бизнес цели.

BG10. Оптимизация затрат на

Оптимизация затрат на предоставление

предоставление услуг

услуг может существенно повысить

прибыль компании.

Филиал

Процесс

Блок владельца

Владелец процесса

процесса

Тбилисский

Техническая

Блок информационных

Директор департамента

поддержка

технологий

Тбилисский

Финансовое

Финансовый блок

Зам. Нач. филиала по

обеспечение

бухгалтерии

Тбилисский

Производство

Производственный блок

Технический директор

продукции

Исполнитель

Описание

Автоматизация

Бизнес-операция

ID Бизнес-операции

процесса

Директор

Обслуживание

Частично

Техническая

БО1

устройств

поддержка

департамента

Проведение

Зам. Нач.

расчетов по

Финансовое

филиала по

приобретению

Частично

БО2

обеспечение

бухгалтерии

сырья и

оборудования

Технический

Переработка

Частично

Производство продукции

БО3

директор

сырья

ID

Бизнес-

Бизнес-

Данные

Оборудование

Персонал

операц

операц

ия

ии

БО1

Техническая

Информация о

Сервер баз данных

Группа инженеров

поддержка

клиенте

БО2

Финансовое

Финансовые

Сервер баз данных

Бухгалтерский отдел

обеспечение

документы

Производств

Информация о

БО3

колличестве сырья

Сервер баз данных

Технический персонал

о продукции

и продукции

ID

Оценка

Бизнес-

Бизнес-

Оценка

Оценка

Оценка

Общая оценка

конфиденциальн

операци

операция

целостности

доступности

достоверности

ости

и

БО1

Техническая

поддержка

2

2

2

3

2,25

БО2

Финансовое

обеспечение

3

2

2

3

2,5

БО3

Производство

продукции

2

1

2

3

2

Наименование

Тип

Описание

Защищенная

корпоративная

Прикладная система

Система коммуникации

почта

MySql

База данных

База данных для хранения данных

TISv3

Прикладная система

ПО для ограничения доступа к базам данных

Windows 10

Операционная

Операционная система для рабочих станций

система

Тип ИТ-ресурса

ID угрозы

Угроза

Детальная цель контроля

Прикладная система

DS10.1 Идентификация и классификация проблемы

T-SY-001

Сбой программного обеспечения

DS10.2 Сопровождение и разрешение проблемы

DS10.3 Закрытие проблемы

DS5.2 ИТ план в области безопасности

Несанкционированные изменения

T-SY-002

DS5.5 Тестирование, контроль и мониторинг в

кода

области безопасности

DS5.6 Идентификация инцидентов в области безопасности

Не установленные своевременно

DS15.1 Стандарты в области защиты и обновления ПО

T-SY-004

обновления и заплатки

DS5.1 Общее управление ИТ-безопасностью

База данных

T-DB-003

Несанкционированный доступ

DS5.6 Идентификация инцидентов в области

безопасности

Операционная система

DS10.1 Идентификация и классификация проблемы

T-OS-001

Сбой программного обеспечения

DS10.2 Сопровождение и разрешение проблемы

DS10.3 Закрытие проблемы

T-OS-002

Несанкционированный доступ

DS5.6 Идентификация инцидентов в области

безопасности

Не установленные своевременно

DS15.1 Стандарты в области защиты и обновления ПО

T-OS-003

обновления и заплатки

DS5.1 Общее управление ИТ-безопасностью

Ресурс

Тип ресурса

ID угрозы

Угроза

Вероятность

Целостность

Конфиденциаль

ность

Допустимость

Надёжность

Соответствие

MySQL

База данных

TDB-003

Несанкционированный доступ

2

1

3

2

3

2

Windows

Операционная

TOS-001

Сбой программного обеспечения

1

2

1

2

2

2

10

система

Windows

Операционная

TOS-002

Несанкционированный доступ

3

1

1

1

3

3

10

система

Windows

Операционная

TOS-003

Не установленные своевременно

3

3

2

2

2

3

10

система

обновления и заплатки

Вероятность

Целостность

Конфиденциальнос

Доступность

Надежность

Соответствие

ть

Частота реализации

Приводит ли к

Нарушение

Длительность

Актуальность

Нарушение

Вопрос

угрозы

искажению данных

конфиденциальности

простоя

данных

законодательства

системы

Наименование

MySQL

Несанкционированный

2

1

3

2

3

2

доступ

Наименование

Windows 10

Сбой программного

1

2

1

2

2

2

обеспечения

Несанкционированный

3

1

1

1

3

3

доступ

Не установленные

своевременно

3

3

2

2

2

3

обновления и заплатки

ID

Бизнес-операция

Ресурс

ID

Угроза

Остаточныйриск

Оценка

эффективности

оценкаОбщаяриска

Целостность

Конфиденциальност

Доступность

Достоверность

Целостность

Конфиденциальност

Доступность

Достоверность

Целостность

Конфиденциальност

Доступность

Надежность

Вероятность

риска

угрозы

RSK-

Финансовое

MySQL

TDB-

Несанкционированный доступ

2,16

2

2,16

2

2,5

2

3

3

2

2

3

1

3

2

3

2

001

обеспечение

003

RSK-

Техническая

Windows

TOC-

Сбой программного обеспечения

3,68

1

1,84

2

1,5

2

2,5

2

2

2

3

2

1

2

2

1

002

поддержка

10

001

RSK-

Финансовое

Windows

TOC-

Несанкционированный доступ

1,66

2

1,66

2

1,5

1,5

3

3

2

2

3

1

1

1

3

3

003

обеспечение

10

002

RSK-

Техническая

Windows

TOC-

Не установленные своевременно

0

3

2,16

2,5

2

2

2,5

2

2

2

3

3

2

2

2

3

004

поддержка

10

003

обновления и заплатки

Бизнес-цель

Соответствие требованиям закона Sarbanes-Oxley

№ ИТ-цели в

Результативность

Эффективность

Конфиденциально

сть

Целостность

Доступность

Достоверность

Соответствие

соответствии с

Бизнес-требования/ИТ-цели

Cobit

BG5. Управление бизнес-рисками

2

Реагировать на требования руководства

P

P

14

Учет и защита всех ИТ-активов

S

S

P

P

P

S

S

18

Установление ясности влияния рисков на ИТ-

S

S

P

P

P

S

S

цели и ресурсы

Обеспечить, чтобы критическая и

19

конфиденциальная информация была удержана

P

P

S

S

S

от тех, у кого не было доступа к ней

Обеспечить доверие к автоматическим бизнес-

20

P

P

S

S

транзакциям и обмену информацией

Обеспечение минимального воздействия на

22

P

S

S

P

бизнес в случае сбоя или изменения ИТ-службы