- •Санкт-петербургский государственный электротехнический университет
- •Кафедра информационной безопасности
- •Идентификация бизнес-целей организации в части bcp
- •Идентификация значимых бизнес-процессов
- •Идентификация бизнес-операций
- •Идентификация ит-сервисов
- •Оценка значимости бизнес-операций
- •Формирование перечня ит-ресурсов
- •Идентификация перечня угроз ит
- •Расчет риска
- •Оценка вероятности и последствий угроз
- •Сводная оценка рисков ra и bia
- •Идентификация ит-целей в части bcp
- •Идентификация ит-процессов
- •Определение rto и rpo ит-сервисов
- •Разработка bcp ит-сервисов
- •Разработка плана тестирования bcp
- •Оценка воздействия угроз на бизнес bia
- •Выводы.
Идентификация перечня угроз ит
В таблице 7 для каждого типа IT-ресурсов представлены угрозы безопасности и детальные цели контроля (из CobIT 4.1).
Таблица 7 – Идентификация перечня угроз
Тип ресурса |
ID Угрозы |
Угроза |
Детальная цель контроля (CobIT 4.1) |
Прикладная система |
T-SY-1 |
Угроза вирусного заражения |
DS 5.1. Управление ИТ-безопасностью |
Хранилище данных |
T-BD-1 |
Угроза уязвимостей СУБД |
DS 5.6. Определение инцидентов в сфере безопасности |
T-BD-2 |
DDoS-атака на сервер |
DS 3.5. Мониторинг и отчетность |
|
T-BD-3 |
Ошибки в настройке серверов |
DS 11.6. Требования по безопасности к управлению данными |
|
T-BD-4 |
НСД |
DS 5.3. Управление идентификацией |
|
T-BD-5 |
Хищение носителей информации |
DS 11.3. Управление библиотекой носителей данных |
|
Оборудование |
T-EQ-1 |
Пользователь совершает действия, не предусмотренные инструкциями |
AI 2.2. Детальный дизайн приложений |
T-EQ-2 |
Ошибки в настройке системы |
AI 3.3. Обслуживание инфраструктуры |
|
T-EQ-3 |
Слабые пароли |
DS 5.4. Управление учетными записями пользователей |
|
Канал коммуникаций |
T-CC-1 |
Ошибки конфигурирования |
DS 5.10. Сетевая безопаснсость |
T-CC-2 |
Обход злоумышленником защиты сетевого экрана |
DS 5.6. Определение инцидентов в сфере безопасности |
|
Персонал |
T-P-1 |
Персонал записывает пароли на бумаге |
DS 7.2. Проведение тренингов и обучение |
T-P-2 |
Персонал забывает пароли |
DS 5.4. Управление учетными записями пользователей |
Расчет риска
В таблице представлен опросник, позволяющий определить по уровням вероятности и влияние угроз ИТ.
Таблица 8 – Опросник для оценки вероятности и последствий угроз
-
ID
Критерий
Вероятность
Целостность
Конфиденциальность
Доступность
Вопрос
Насколько часто реализуется данная угроза для данного ресурса? (0 - никогда, 3 - очень часто)
Если реализуется данная угроза, может ли это привести к искажению данных и насколько сильными могут быть эти искажения данных? (0 - не произойдет, 3 - достаточно серьезные)
Может ли данная угроза привести к тому что ресурс станет доступен для широкого круга сотрудников или внешних людей? (0 - конфиденциальность ресурса сохранится, 3 - скорее всего ресурс станет доступен для НСД)
Если данная угроза реализуется, насколько долгим будет простой системы? (0 - простоя не будет, 3 - простой будет длительным)
T-SY-1
Угроза вирусного заражения
2
2
1
2
T-BD-1
Угроза уязвимостей СУБД
1
2
2
2
T-BD-2
DDoS-атака на сервер
2
1
2
2
T-BD-3
Ошибки в настройке серверов
1
1
2
1
T-BD-4
НСД
1
3
1
2
T-BD-5
Хищение носителей информации
2
3
2
3
T-EQ-1
Слабые пароли
1
1
2
0
T-EQ-2
Пользователь совершает действия, не предусмотренные инструкциями
1
1
0
1
T-EQ-3
Ошибки в настройке системы
1
1
1
1
T-CC-1
Ошибки конфигурирования
3
3
2
3
T-CC-2
Обход злоумышленником защиты сетевого экрана
1
0
2
0
T-P-1
Персонал записывает пароли на бумаге
2
0
3
1
T-P-2
Персонал забывает пароли
2
2
3
2