МИНОБРНАУКИ РОССИИ САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ ЭЛЕКТРОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ «ЛЭТИ» ИМ. В.И. УЛЬЯНОВА (ЛЕНИНА) Кафедра информационной безопасности
ОТЧЕТ ПО ЛАБАРАТОРНОЙ РАБОТЕ № 13
по дисциплине «Основы информационной безопасности» Тема: «Цели безопасности и классификация событий риска»
Студент гр.
Преподаватель
Санкт-Петербург
2023
Постановка задачи
1.Описываемая область выбирается студентом на основе собранных материалов по конкретному предприятию, организации или компании.
2.Цель работы: изучение вида работ по классификации инцидентов информационной безопасности на основании требований стандарта ГОСТ Р
18044.
3. Отчет выполняется с проведением анализа всех рисков с применением реагирования на основе диаграммы вероятность угрозы – величина ущерба.
4.Материал должен содержать титульный лист, постановку задачи,
текст и таблицы согласно нормативным документам.
Описываемый объект – ЭБС (электронная библиотечная система) и
локальная сеть библиотеки НГУ (Некого Государственного Университета).
1.Идентификация бизнес-целей организации в части BCP
Воснове метода требования бизнеса. Основные бизнес-требования для ЭБС НГУ сформулированы в таблице 1.
|
|
Таблица 1 – Идентификация бизнес-целей организации |
|
|
|
ID |
Категория |
Бизнес-цель |
|
|
|
BG1 |
Пользователи |
Непрерывность и бесперебойность оказания услуг |
|
|
|
BG2 |
|
Максимально полное сопровождение учебных программ НГУ эл. ресурсами |
|
|
|
BG3 |
Финансы |
Обеспечение уникальности и конкурентоспособности услуг, включенных в платную |
|
|
подписку |
|
|
|
BG4 |
|
Соответствие внешним законам и регулирующим нормам |
|
|
|
2.Идентификация значимых бизнес-процессов
Втаблице 2 представлены основные бизнес-процессы и их владельцы,
реализующие бизнес-цели.
Таблица 2 – Идентификация значимых бизнес-процессов
Бизнес- |
ID |
Регион |
Процесс |
|
Блок владельца процесса |
|
Должность владельца |
|||
цель |
|
|
|
|
|
|
|
|
процесса |
|
|
|
|
|
|
|
|
|
|
|
|
BG1 |
BP1 |
г. Пенза |
Обеспечение круглосуточного |
Блок администрирования |
|
Администратор ЭБС |
||||
|
|
|
онлайн-доступа к чтению эл. |
|
|
|
|
|
|
|
|
|
|
книг, хранящихся в ЭБС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
BG2, |
BP2 |
г. Пенза |
Добавление и хранение книг |
Блок |
каталогизации |
и |
Каталогизатор ЭБС |
|||
BG4 |
|
|
на общем сервере ЭБС |
хранения |
электронных |
|
|
|||
|
|
|
|
|
ресурсов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
BP3 |
г. Пенза |
Автоматизированный поиск и |
Блок |
каталогизации |
и |
Каталогизатор ЭБС |
|||
|
|
|
обработка ресурсов ЭБС |
хранения |
электронных |
|
|
|||
|
|
|
|
|
ресурсов |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
BP4 |
г. Пенза |
Доступ к ЭБС через ПК из |
Блок администрирования |
|
Администратор ЭБС |
||||
|
|
|
читального зала |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
BP5 |
г. Пенза |
Регистрация и идентификация |
Блок администрирования |
|
Администратор ЭБС |
||||
|
|
|
пользователей в ЭБС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
BG3 |
BP6 |
г. Пенза |
Приобретение |
платного |
Финансовый блок |
|
Финансовый |
отдел |
||
|
|
|
абонемента |
|
|
|
|
|
НГУ |
|
|
|
|
|
|
|
|
|
|
|
|
3.Идентификация бизнес-операций
Врамках значимых бизнес-процессов, для каждого из них обозначены действия, прикладные системы, идентифицированы сервисы и бизнес-
операции. Также перечислены участвующие в бизнес-процессах данные
(таблица 3).
Таблица 3 (часть 1) – Идентификация бизнес-операций
Таблица 3 (часть 2) – Идентификация бизнес-операций
4. Идентификация ИТ-сервисов
Для каждой идентифицированной ранее бизнес-операции в таблице 4
проидентифицированы участвующие в них ресурсы. Оценка значимости бизнес-операций проведена в пункте 5.
Таблица 4 (часть 1) – Идентификация ИТ-сервисов
Таблица 4 (часть 2) – Идентификация ИТ-сервисов
5.Оценка значимости бизнес-операций
Втаблице 5 проведена оценка значимости идентифицированных ранее бизнес-операций.
Таблица 5 – Оценка значимости бизнес-операций
6.Формирование перечня ИТ-ресурсов
Втаблице 6 представлен полный перечень ИТ-ресурсов ЭБС НГУ, для них указаны тип, использующие сервисы и описание.
Таблица 6 – Формирование перечня ИТ-ресурсов
7.Идентификация перечня угроз ИТ
Втаблице 7 для каждого типа ИТ-ресурсов проидентифицированы угрозы безопасности и детальные цели контроля (из CobIT 4.1).
Таблица 7 – Идентификация перечня угроз ИТ
8.Оценка вероятности и последствий угроз для ИТ
Всоответствии с опросником (пункт 9) в таблице 8 представлена оценка вероятности и влияния проидентифицированных ранее угроз.
Таблица 8 – Оценка вероятности и последствий угроз для ИТ
9.Расчет риска
Втаблице 9 представлен вопросник, определяющий по уровням вероятность и влияние угроз ИТ.
Таблица 9 – Вопросник для оценки вероятности и последствий угроз
10. Сводная оценка рисков RA и BIA
В таблице 10 проидентифицированы риски, для них указаны ресурсы и угрозы. Данные по оценке эффективности контролей взяты из пункта 15, по оценке угроз из пункта 9, по оценке значимости из пункта 5. Общая оценка риска проведена на основании оценки значимости и оценки угроз (сумма/2).