10. Сводная оценка рисков ra и bia

В таблице 10 представлены риски, для них указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из пункта 8 и по оценке значимости из пункта 5. Общая оценка риска проведена на основании оценки значимости и оценки угроз.

Таблица 10 – Сводная оценка рисков с учетом ценности ИТ-сервиса

ID риска	Бизнес-операция	ID сервиса	ID ресурса	Ресурс	Тип ресурса	ID Угрозы	Угроза	Оценка эффективности контролей
RSK-1	Администрирование web-сервера	S1	R-SY-1	Программный модуль "Администратор"	Прикладная система	T-SY-1	Угроза вирусного заражения	1
RSK-2	Мониторинг webсервера	S1	R-SY-2	Сервис "Pingdom"	Прикладная система	T-SY-1	Угроза вирусного заражения	1
RSK-3	Мониторинг работы сервера	S2	R-SY-3	Linux Сервер	Прикладная система	T-SY-1	Угроза вирусного заражения	1
RSK-4	Внесение данных в БД	S3	R-SY-4	Клиент-Сервер	Прикладная система	T-SY-1	Угроза вирусного заражения	1
RSK-5	Принятие заказов	S4	R-SY-5	Сервис "АГОРТА"	Прикладная система	T-SY-1	Угроза вирусного заражения	1
RSK-6	Удаленное централизованное	S5	R-SY-6	Облачный сервис "Panda Systems Management"	Прикладная система	T-SY-1	Угроза вирусного заражения	1
RSK-7	Администрирование web-сервера	S1	R-BD-1	Web-Сервер	Хранилище данных	T-BD-2	DDoS-атака на сервер	2
RSK-8	Внесение данных в БД	S3	R-BD-2	Сервер БД	Хранилище данных	T-BD-1	Угроза уязвимостей СУБД	1
RSK-9	Удаленное централизованное	S5	R-BD-3	Жесткий диск компьютера администратора/сотрудника	Хранилище данных	T-BD-4	НСД	2
RSK-10	управление установкой Мониторинг webсервера	S1	R-EQ-1	Web-Сервер	Оборудование	T-EQ-2	Ошибки в настройке системы	2
RSK-11	Регистрация и идентификация пользователей	S3	R-EQ-2	Компьютер администратора	Оборудование	T-EQ-1	Пользователь совершает действия, не предусмотренные инструкциями	1
RSK-12	Мониторинг работы сервера	S2	R-EQ-3	Сервер БД	Оборудование	T-EQ-2	Ошибки в настройке системы	2
RSK-13	Удаленное централизованное управление установкой и обновлением ПО	S5	R-EQ-4	Компютер сотрудника	Оборудование	T-EQ-3	Слабые пароли	3
RSK-14	Мониторинг работы сервера	S2	R-CC-1	Локальная сеть	Канал коммуникации	T-CC-1	Ошибки конфигурирования	2
RSK-15	Регистрация и идентификация пользователей	S3	R-CC-2	Глобальная сеть	Канал коммуникации	T-CC-2	Обход злоумышленником защиты сетевого экрана	1
RSK-16	Удаленное централизованное управление установкой и обновлением ПО	S5	R-P-1	Системный администратор	Персонал	T-P-2	Персонал забывает пароли	2
RSK-17	Внесение данных в БД	S3	R-P-2	Администратор БД	Персонал	T-P-2	Персонал забывает пароли	2
RSK-18	Администрирование web-сервера	S1	R-P-3	Web-администратор	Персонал	T-P-1	Персонал записывает пароли на бумаге	1

Таблица 10 – Сводная оценка рисков с учетом ценности ИТ-сервиса

Общая оценка риска	Целостность	Конфиденциаль ность	Доступность	Целостность	Конфиденциал ьность	Доступность	Вероятность	Целостность	Конфиденциаль ность	Доступность
1,83	2	1,5	2	2	2	2	2	2	1	2
2,00	2,5	1,5	2	3	2	2	2	2	1	2
2,00	2	1,5	2,5	2	2	3	2	2	1	2
2,17	2,5	1,5	2,5	3	2	3	2	2	1	2
1,83	1,5	2	2	1	3	2	2	2	1	2
2,17	2,5	1,5	2,5	3	2	3	2	2	1	2
1,83	1,5	2	2	2	2	2	2	1	2	2
2,33	2,5	2	2,5	3	2	3	1	2	2	2
2,33	3	1,5	2,5	3	2	3	1	3	1	2
1,67	2	1,5	1,5	3	2	2	1	1	1	1
1,67	2	1	2	3	2	3	1	1	0	1
1,67	1,5	1,5	2	2	2	3	1	1	1	1
1,83	2	2	1,5	3	2	3	1	1	2	0
2,50	2,5	2	3	2	2	3	3	3	2	3
1,67	1,5	2	1,5	3	2	3	1	0	2	0
2,50	2,5	2,5	2,5	3	2	3	2	2	3	2
2,50	2,5	2,5	2,5	3	2	3	2	2	3	2
1,67	1	2,5	1,5	2	2	2	2	0	3	1