Таблица 10 (часть 1) – Сводная оценка рисков с учетом ценности ИТ-
сервиса
Таблица 10 (часть 2) – Сводная оценка рисков с учетом ценности ИТ-
сервиса
11. Идентификация ИТ-целей в части BCP
В таблице 11 представлена карта соответствия ИТ-целей и бизнес-целей по методике CobIT 5.
Таблица 11 – Соответствие ИТ- и бизнес-целей
12. Идентификация ИТ-процессов
В таблице 12 представлена карта соответствия ИТ-процессов и ИТ-целей по методике CobIT 5.
Таблица 12 – Соответствие ИТ-процессов и ИТ-целей
13. Определение RTO и RPO ИТ-сервисов
RTO – это промежуток времени, в течение которого система может оставаться недоступной в случае аварии.
RPO – это максимальный период времени, за который могут быть потеряны данные в результате инцидента ИБ.
В таблице 13 RTO и RPO для ИТ-сервисов ЭБС НГУ (приведено соответствие с бизнес-операциями и возможными угрозами).
Данные представлены на основании соглашения о времени обслуживания внутри организации НГУ.
Таблица 13 – Высокоуровневые цели ИТ-контролей для ИТ-процессов
По RTO и RPO система ЭБС НГУ для обеспечения непрерывности бизнес-процессов и сервисов использует технологию запуска сервисов из резервной копии в аварийной ситуации.
Для каждого сервиса (SER-1, SER-2, SER-3, SER-4 и SER-5)
производится резервное копирование (ответственность на отделе администрирования).
14. Разработка BCP ИТ-сервисов
Описание детальных целей контроля (взятых из CobIT 4.1),
перечисленных ранее, представлено в таблице 14.
Таблица 14 – Цели ИТ-контроля
15. Разработка плана тестирования BCP
Описание проводимого в ЭБС НГУ контроля для угроз, с учетом целей
контроля по CobIT 4.1, с оценкой эффективности контроля приведены в
таблице 15.
Таблица 15 – Описание и оценка эффективности контроля
16. Оценка воздействия угроз на бизнес BIA
Для оценки воздействия перечисленных и проиндексированных в предыдущих пунктах угроз на бизнес построена диаграмма (рисунок 1). Точки на диаграмме соответствуют угрозам (подписи на рисунке – их индексы).
Уровни 0-2 для вероятностей и последствий взяты как низкие и приемлемые, уровень 2-3 соответствует высокой вероятности реализации угрозы и высокому ущербу от ее реализации.
Численные значения для построения оценочных точек взяты из сводной таблицы (пункт 10).
Рисунок 1 – Оценка воздействия угроз на бизнес BIA
Выводы.
По результатам оценки (рисунок 1) угрозы распределились на 4
категории:
1)Тяжелые последствия и низкая вероятность реализации – применяется планирование контрмер: в эту категорию попадают
«Угроза уязвимостей СУБД», «Взлом серверов», «Хищение носителей информации», «Отсутствие защиты серверов от скачков напряжения» и «Обход злоумышленниками защитных средств»;
2)Лёгкие последствия и низкая вероятность реализации – применяется принятие рисков: в эту категорию попадают «НСД посторонних
лиц», «Угроза выявления взломщиком пользователей и групп», «Неправильная настройка администратором», «Совершение пользователем непредусмотренных инструкциями действий» и «Взлом через маршрутизатор»;
3)Лёгкие последствия и высокая вероятность реализации – применяется контроль и управление рисками: в эту категорию попадают угрозы
«Персонал забывает пароли», «Персонал хранит пароли на бумаге», «Персонал не обучен быстрому скоординированному решению возникших проблем», «Ошибки конфигурирования сетевого оборудования», «Угроза вирусного заражения» и «Небезопасная настройка серверов»;
4)Тяжелые последствия и высокая вероятность реализации – применяется передача рисков (ответственности): в эту категорию попадает угроза «Слабые пароли».