Таблица 11 – Соответствие ИТ- и бизнес-целей
P - прямое соответствие, S - косвенное соответствие |
|
Бизнес-цели предприятия |
|
||
|
|
|
|||
|
|
|
|
|
|
|
Непрерывность и |
Улучшение |
Оптимизация |
Соответствие |
|
|
бесперебойность |
качества |
затрат на |
законам и иным |
|
|
оказания услуг |
предоставляемых |
предоставление |
нормативным |
|
ИТ-цели (по CobIT 5) |
|
услуг |
услуг |
актам |
|
|
|
|
|
||
|
|
|
|
|
|
Соотвествие между ИТ- и бизнес стратегиями |
P |
|
|
P |
|
|
|
|
|||
|
|
|
|
|
|
Следование внешнему законодательству и |
|
|
|
|
|
регулирующим требованиям в области ИТ и |
S |
S |
|
P |
|
поддержка бизнес-соответствия |
|
|
|
|
|
Управляемые ИТ-риски |
P |
S |
P |
S |
|
|
|||||
|
|
|
|
|
|
Предоставление ИТ-услуг в соответствии с бизнес- |
S |
P |
P |
S |
|
требованиями |
|||||
|
|
|
|
||
Адекватное использование приложений, |
|
|
|
|
|
P |
S |
S |
S |
||
информации и технических решений |
|||||
|
|
|
|
||
Безопасность обрабатываемой информации |
|
|
|
|
|
S |
|
|
P |
||
|
|
|
|||
|
|
|
|
|
|
Обеспечение работы и поддержка бизнес-процессов, |
|
|
|
|
|
|
|
|
|
||
путем интеграции приложений и технологий в бизнес- |
P |
P |
S |
|
|
процессы |
|
|
|
|
|
12. Идентификация ИТ-процессов
В таблице 12 представлена карта соответствия ИТ-процессов и ИТ-целей
по методике CobIT 5.
Таблица 12 – Соответствие ИТ-процессов и ИТ-целей
P - прямое соответствие, S - |
|
|
|
ИТ-цели (по CobIT 5) |
|
|
|
косвенное соответствие |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Соотвествие |
Следование внешнему |
Управляемы |
Предоставление ИТ- |
Адекватное |
Безопасность |
Обеспечение работы и |
|
между ИТ- и |
законодательству и |
е ИТ-риски |
услуг в соответствии |
использование |
обрабатываемой |
поддержка бизнес- |
|
бизнес |
регулирующим |
|
с бизнес- |
приложений, |
информации |
процессов, путем |
ИТ-процессы (по CobIT 5) |
стратегиями |
требованиям в области ИТ |
|
требованиями |
информации и |
|
интеграции приложений и |
|
|
и поддержка бизнес- |
|
|
технических |
|
технологий в бизнес- |
|
|
соответствия |
|
|
решений |
|
процессы |
|
|
|
|
|
|
|
|
Обеспечение оптимизации |
|
P |
P |
|
|
P |
S |
рисков |
|
|
|
||||
|
|
|
|
|
|
|
|
Управление архитектурой |
S |
|
P |
S |
P |
P |
P |
предприятия |
|
||||||
|
|
|
|
|
|
|
|
Управление персоналом |
S |
|
S |
|
|
P |
|
|
|
|
|
|
|||
Управление соглашениями об |
|
|
S |
P |
P |
|
|
услугах |
|
|
|
|
|||
|
|
|
|
|
|
|
|
Управление качеством |
P |
P |
|
P |
|
P |
S |
|
|
|
|||||
Управление безопасностью |
P |
|
P |
|
S |
|
|
|
|
|
|
|
|||
Управление выбором и |
|
|
S |
|
S |
|
|
внедрением решений |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
Управление непрерывностью |
P |
S |
|
P |
|
|
S |
|
|
|
|
||||
|
|
|
|
|
|
|
|
13. Определение RTO и RPO ИТ-сервисов
RTO – это промежуток времени, в течение которого система может
оставаться недоступной в случае аварии.
RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.
В таблице 13 RTO и RPO для ИТ-сервисов компании (приведено соответствие с бизнес-операциями и возможными угрозами).
Данные представлены на основании соглашения о времени обслуживания внутри организации.
Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов
ID ИТ- |
ID BOP |
Бизнес-операция |
ID |
Угроза |
RTO, ч. |
RPO, ч. |
|
сервиса |
Угрозы |
||||||
|
|
|
|
|
|||
S1 |
BOP-1 |
Администрирование web-сервера |
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-BD-2 |
DDoS-атака на сервер |
|
|
|
|
|
|
|
|
2 ч. |
4 ч. |
|
|
|
|
|
|
|
|
|
|
|
|
T-P-1 |
Персонал записывает пароли на |
|
|
|
|
|
|
|
бумаге |
|
|
|
|
|
|
|
|
|
|
|
S1 |
BOP-2 |
Мониторинг web-сервера |
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
4 ч. |
6 ч. |
|
|
|
|
T-EQ-2 |
Ошибки в настройке системы |
|||
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
S2 |
BOP-3 |
Мониторинг работы сервера |
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
T-EQ-2 |
Ошибки в настройке системы |
4 ч. |
6 ч. |
|
|
|
|
|
|
|||
|
|
|
T-CC-1 |
Ошибки конфигурирования |
|
|
|
|
|
|
|
|
|
|
|
S3 |
BOP-4 |
Внесение данных в БД |
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
|
|
|
4 ч. |
4 ч. |
|
|
|
|
T-BD-1 |
Угроза уязвимостей СУБД |
|||
|
|
|
|
|
|
|
|
|
|
|
T-P-2 |
Персонал забывает пароли |
|
|
|
|
|
|
|
|
|
|
|
S4 |
BOP-5 |
Принятие заказов |
T-SY-1 |
Угроза вирусного заражения |
4 ч. |
6 ч. |
|
|
|
|
|
|
|||
S5 |
BOP-6 |
Удаленное централизованное |
T-SY-1 |
Угроза вирусного заражения |
|
|
|
|
|
управление установкой и обновлением |
|
|
|
|
|
|
|
T-BD-4 |
НСД |
|
|
||
|
|
ПО |
|
|
|||
|
|
|
|
2 ч. |
6 ч. |
||
|
|
|
T-EQ-3 |
Слабые пароли |
|||
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
T-P-2 |
Персонал забывает пароли |
|
|
|
|
|
|
|
|
|
|
|
S3 |
BOP-7 |
Регистрация и идентификация |
T-EQ-1 |
Пользователь совершает действия, не |
|
|
|
|
|
пользователей |
|
предусмотренные инструкциями |
4 ч. |
4 ч. |
|
|
|
|
T-CC-2 |
Обход злоумышленником защиты |
|||
|
|
|
|
|
|||
|
|
|
|
сетевого экрана |
|
|
По RTO и RPO система ПАО «МТС» для обеспечения непрерывности бизнес-процессов и сервисов использует технологию для запуска сервисов из резервной копии в аварийной ситуации.
Для каждого сервиса производится резервное копирование ответственность за которое возложена на технический отдел.
14. Разработка BCP ИТ-сервисов
Описание детальных целей контроля (взятых из CobIT 4.1),
перечисленных ранее, представлено в таблице 14.
|
|
Таблица 14 – Цели ИТ-контроля |
|
|
|
ID детальной |
|
|
цели ИТ- |
Детальная цель контроля (CobIT 4.1) |
Описание детальной цели контроля |
контроля |
|
|
DS 5.1. |
Управление ИТ-безопасностью |
Организовать управление ИТ-безопасностью на максимально возможном организационном уровне, чтобы действия |
|
|
по обеспечению безопасности соответствовали требованиям бизнеса |
|
|
|
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определеить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно |
|
|
было классифицировать и устранить в процессе управления проблемами и инцидентами |
|
|
|
DS 3.5. |
Мониторинг и отчетность |
Осуществлять постоянный мониторинг производительности и мощностей ИТ ресурсов. Полученные данные должны |
|
|
служить обеспечению и настройке текущей производительности ИТ и учитывать такие вопросы как устойчивость, |
|
|
вероятность инцидентов, текущая и проектная эксплуатационная нагрузка, планы хранения ресурсов |
|
|
|
DS 5.3. |
Управление идентификацией |
следует убедиться в том, что все пользователи (внутренние, внешние и временные) и их деятельность в ИТ системах |
|
|
(приложениях, ИТ среде, системных операциях) может быть однозначно идентифицирована |
AI 2.2. |
Детальный дизайн приложений |
Подготовить детальный дизайн приложения и технические требования к программному обеспечению |
|
|
|
AI 3.3. |
Обслуживание инфраструктуры |
Разработать стратегию. И план обслуживания инфраструктуры и убедиться что изменения находятся под контролем |
|
|
в соответствии с принятой в организации процедурой управления. Включить в план периодические оценки |
|
|
соответствия бизнес-целям |
DS 5.4. |
Управление учетными записями пользователей |
Обеспечить управление запросами6 созданием, приостановкой, изменением и ликвидацией учетных записей |
|
|
пользователей и связанных с ними полномочий с помощью комплекса процеду |
DS 5.6. |
Определение инцидентов в сфере безопасности |
Четко определить и сообщить характеристики потенциальных инцидентов в сфере безопасности, чтобы их можно |
|
|
было классифицировать и устранить в процессе управления проблемами и инцидентами |
|
|
|
DS 5.10. |
Сетевая безопаснсость |
Применять технологии обеспечения безопасности и соответствующие процедуры управления (межсетевые экраны6 |
|
|
устройства для безопасности, сетевой сегментации и системы обнаружения вторжений) для авторизации доступа и |
|
|
контроля информационных межсетевых потоков |
DS 7.2. |
Проведение тренингов и обучение |
Обучение и тренинг основывются на выявленных потребностях, определении целевы групп и их состава, |
|
|
эффективных механизмах организации учебного процесса и контролем учпеваемости. |
15. Разработка плана тестирования BCP
Описание проводимого на предприятии контроля для угроз, с учетом
целей контроля по CobIT 4.1, с оценкой эффективности контроля приведены в
таблице 15.
Таблица 15 – Описание и оценка эффективности контроля
|
|
|
|
|
Оценка эффективности контролей (0 - |
ID риска |
Угроза |
Высокоуровневая цель контроля |
Детальная цель контроля |
Описание контроля |
контроль отсутствует, 3 - контроль |
|
|
|
|
|
внедрен и эффективен) |
RSK-1 |
Угроза вирусного заражения |
DS 5. Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
RSK-2 |
Угроза вирусного заражения |
DS 5. Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
RSK-3 |
Угроза вирусного заражения |
DS 5. Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
RSK-4 |
Угроза вирусного заражения |
DS 5. Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
service) |
|
RSK-5 |
Угроза вирусного заражения |
DS 5. Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
1 |
|
|
|
|
service) |
|
|
|
|
|
|
|
RSK-6 |
Угроза вирусного заражения |
DS 5. Обеспечение безопасности систем |
DS 5.1. Управление ИТ-безопасностью |
Установлены антивирусное ПО (Cloud MTS Anti-virus protection |
|
|
|
|
|
service) |
1 |
|
|
|
|
|
|
|
|
|
|
|
|
RSK-7 |
DDoS-атака на сервер |
DS 3. Управление производительностью |
DS 3.5. Мониторинг и отчетность |
Установлено средство мониторинга "Pingdom" |
|
|
|
и мощностями |
|
|
2 |
|
|
|
|
|
|
RSK-8 |
Угроза уязвимостей СУБД |
DS 5. Обеспечение безопасности систем |
DS 5.6. Определение инцидентов в сфере |
Установлено средство мониторинга "Pingdom", Установлены |
1 |
|
|
|
безопасности |
антивирусное ПО (Cloud MTS Anti-virus protection service) |
|
RSK-9 |
НСД |
DS 5. Обеспечение безопасности систем |
DS 5.3. Управление идентификацией |
На всех компьютерах, установлены пароли, выдающиеся |
2 |
|
|
|
|
сотруднику при устройстве, пароли обновляются |
|
|
|
|
|
|
|
RSK-10 |
Ошибки в настройке системы |
AI 3. Приобретение и обслуживание |
AI 3.3. Обслуживание инфраструктуры |
Установлен модуль "Администратор", включающий базовый |
2 |
|
|
технологий инфраструктуры |
|
контроль за настройкой системы |
|
RSK-11 |
Пользователь совершает |
AI 2. Приобретение и поддержка |
AI 2.2. Детальный дизайн приложений |
Используются проверенные отечественные программы |
|
|
действия, не предусмотренные |
программных приложений |
|
|
1 |
|
|
|
|
||
RSK-12 |
Ошибки в настройке системы |
AI 3. Приобретение и обслуживание |
AI 3.3. Обслуживание инфраструктуры |
Установлен модуль "Администратор", включающий базовый |
|
|
|
технологий инфраструктуры |
|
контроль за настройкой системы |
2 |
|
|
|
|
||
|
|
|
|
|
|
RSK-13 |
Слабые пароли |
DS 5. Обеспечение безопасности систем |
DS 5.4. Управление учетными записями |
Вводятся требования к паролю |
|
|
|
|
пользователей |
|
3 |
|
|
|
|
|
|
|
|
|
|
|
|
RSK-14 |
Ошибки конфигурирования |
DS 5. Обеспечение безопасности систем |
DS 5.10. Сетевая безопаснсость |
За настройкой сетевого оборудования наблюдает тех. специалист |
2 |
|
|
|
|
|
|
|
|
|
|
|
|
RSK-15 |
Обход злоумышленником |
DS 5. Обеспечение безопасности систем |
DS 5.6. Определение инцидентов в сфере |
Используются отечественные алгоритмы шифрования |
|
|
защиты сетевого экрана |
|
безопасности |
|
1 |
|
|
|
|
|
|
RSK-16 |
Персонал забывает пароли |
DS 5. Обеспечение безопасности систем |
DS 5.4. Управление учетными записями |
Пароли можно восстановить по заявлению |
|
|
|
|
пользователей |
|
2 |
|
|
|
|
|
|
RSK-17 |
Персонал забывает пароли |
DS 5. Обеспечение безопасности систем |
DS 5.4. Управление учетными записями |
Пароли можно восстановить по заявлению |
|
|
|
|
пользователей |
|
2 |
|
|
|
|
|
|
RSK-18 |
Персонал записывает пароли на |
DS 7. Обучение и подготовка |
DS 7.2. Проведение тренингов и обучение |
Работникам делаются выговоры |
|
|
бумаге |
пользователей |
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
16. Оценка воздействия угроз на бизнес BIA
Для оценки воздействия перечисленных и проиндексированных в предыдущих пунктах угроз на бизнес построена диаграмма (рисунок 1). Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).
Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.
Численные значения для построения оценочных точек взяты из сводной таблицы (пункт 10).
Рисунок 1 – Оценка воздействия угроз на бизнес BIA
Выводы.
По результатам оценки (рисунок 1) угрозы распределились на 4
категории:
1)Тяжелые последствия и низкая вероятность реализации – применяется планирование контрмер: в эту категорию попадают «Угроза уязвимостей СУБД», «Несканкционированный доступ к системе», «Хищение носителей информации», «Персонал, записывающий пароли на бумаге»
2)Лёгкие последствия и низкая вероятность реализации – применяется принятие рисков: в эту категорию попадают «Ошибкинастройки сервисов», «Слабые пароли», «ошибка настройки системы», «Совершение пользователем непредусмотренных инструкциями действий»;
3)Лёгкие последствия и высокая вероятность реализации – применяется контроль и управление рисками: в эту категорию попадают угрозы «Персонал забывает пароли», «Персонал хранит пароли на бумаге», «Персонал не обучен быстрому скоординированному решению возникших проблем», «DDoS-атаки на веб сервер», «Угроза вирусного заражения» и «персонал, забывающий пароли»;
4)Тяжелые последствия и высокая вероятность реализации – применяется передача рисков (ответственности): в эту категорию попадает угроза «Серьезные ошибки конфигурирования».