Комплексы составленных мер по модели
Комплекс мер №1
Комплекс мер №2
Модель: ООО "СантехСтандарт"
Комплекс мер: Комплекс мер №1
Потенциал снижения риска: 368,67 |
Экспертная оценка стоимости: 0,00 Расчетная |
||
стоимость: 185,00 |
|
Экспертно-расчетная оценка стоимости: 0,00 |
|
Мера: Подготовка персонала. |
|
|
|
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Бухгалтерия |
|
|
|
Объект: Финансовые данные |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Подготовка персонала. |
|
|
|
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Бухгалтерия |
|
|
|
Объект: Система учета и финансового анализа |
|
||
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,00 |
45,00 |
стоимости: 0,00 |
|
Мера: Подготовка персонала |
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Бухгалтерия |
|
|
|
Объект: ERP-система управления |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 200,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Планирование необходимого роста потребности в |
|||
криптографических ключах |
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Информационная защита |
|
|
|
Объект: Контроль доступа к информации |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 40,00 |
40,00 |
стоимости: 0,00 |
|
Мера: Повышение зарплаты и создание сист. соц. льгот для закрепления специалистов и предотвращения текучести кадров
Регион: Санкт- |
Петербург |
|
|
ЛС: Центральный офис |
|
|
|
ПС: Инфраструктура и сетевые сервисы |
|
|
|
Объект: Учетно- |
|
|
|
операционная система |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 49,00 |
50,00 |
стоимости: 0,00 |
|
Комплекс мер: Комплекс мер №2
Потенциал снижения риска: 368,67 |
Экспертная оценка стоимости: 0,00 |
Расчетная стоимость: 270,00 |
Экспертно-расчетная оценка стоимости: 0,00 |
Мера: Политика безопасности организации должна запрещать открытие вложений, пришедших с незнакомых адресов или из вне
Регион: Санкт-Петербург
ЛС: Сервисы безопасности
ПС: Информационная защита |
|
|
|
Объект: Web-сервер |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 22,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Точное документирование действий администраторов |
|||
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Центральный офис |
|
|
|
ПС: Руководители и административный персонал |
|
||
Объект: База данных руководства |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 28,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Подготовка персонала. |
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Склад поставки |
|
|
|
ПС: Персонал склада |
|
|
|
Объект: База сотрудников, ответственных за перемещение товаров |
|
||
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 24,00 |
25,00 |
стоимости: 0,00 |
|
Мера: Точное документирование действий ответственных кладовщиков
Регион: Санкт-Петербург
ЛС: Склад поставки
ПС: Системы управления |
|
|
|
Объект: Учет товаров |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 107,00 |
30,00 |
стоимости: 0,00 |
|
Мера: М.01.01. Разработка, внедрение и поддержка политики безопасности
Регион: Санкт-Петербург
Лс: Главный офис
ПС: Инфраструктура и сетевые сервисы
Объект: Система управления АИС
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 162,00 |
30,00 |
стоимости: 0,00 |
|
Мера: Должен осуществляться антивирусный контроль вложений в сети
Регион: Санкт-Петербург
ЛС: Центральный офис
ПС: Инфраструктура и сетевые сервисы |
|
|
|
Объект: Координационный центр |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 20,00 |
10,00 |
стоимости: 0,00 |
|
|
|||
Мера: Ограничение количества попыток ввода пароля в ПАК |
|||
|
|
|
|
Регион: Санкт-Петербург |
|
|
|
ЛС: Главный офис |
|
|
|
ПС: Инфраструктура и сетевые сервисы |
|
|
|
Объект: Защита сетевых ресурсов |
|
|
|
Потенциал снижения |
Расчетная стоимость: |
Экспертная оценка |
Код упорядочивания: |
риска: 100,00 |
20,00 |
стоимости: 0,00 |
Мера: Точное документирование действий ответственных кладовщиков
Регион: Новосибирск
ЛС: Склад снабжения
ПС: Персонал склада |
|
|
|
Объект: База |
|
|
|
сотрудников, ответственных |
|
|
|
за перемещение товаров |
|
|
|
Потенциал снижения |
Расчетная |
Экспертная оценка |
Код упорядочивания: |
риска: 33,20 |
стоимость: |
стоимости: 0,00 |
|
|
20,00 |
|
|
Мера: Внедрение технологии анализа защищенности и поиска уязвимостей серверов
Регион: Новосибирск |
|
|
|
ЛС: Склад снабжения |
|
|
|
ПС: Системы |
|
|
|
управления |
|
|
|
Объект: Локальная вычислительная сеть |
|
|
|
Потенциал снижения |
Расчетная |
Экспертная оценка |
Код упорядочивания: |
риска: 115,00 |
стоимость: |
стоимости: 0,00 |
|
|
40,00 |
|
|
Мера: Серверные программы должны фильтровать запросы юр. лиц, если эти данные используются для системных операций
Регион: Санкт-Петербург
ЛС: Центральный офис
ПС: Контроль доступа к |
|
|
|
информации |
|
|
|
Объект: Сервер обработки информации |
|
|
|
Потенциал снижения |
Расчетная |
Экспертная оценка |
Код упорядочивания: |
риска: 90,00 |
стоимость: |
стоимости: 0,00 |
|
|
50,00 |
|
|
После составления комплексов мер и построения диаграммы стало видно, что выгоднее всего будет взять наименьший по стоимости комплекс мер – первый (оценка стоимости – 185).
Выбор комплекса контрмер
В связи с тем, что приемлемым остаточным риском считается риск ниже 390,5
руб., следует выбрать сформированный комплект мер, так как он соответствует
требованиям.
Комплекс мер 1
тыс. рублей
тыс. рублей
|
Остаточный |
Уменьшение |
|
риск |
риска |
|
|
|
Модель: ООО "СантехСтандарт" |
Риск до принятия мер: 966,67 |
|
|
|
|
Комплекс мер 1 |
306,48 |
660,19 |
Регион: Санкт-Петербург |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
|
|
|
ЛС: Центральный офис |
Риск до принятия мер: 966,67 |
|
Комплекс мер 1 |
306,48 |
660,19 |
ПС: Сервисы безопасности |
Риск до принятия мер: 722,02 |
|
Комплекс мер 1 |
124,33 |
597,69 |
|
|
|
Объект: Процесс безопасной разработки |
Риск до принятия мер: 76,19 |
|
Комплекс мер 1 |
0,00 |
76,19 |
|
|
|
Объект: Система аутентификации |
Риск до принятия мер: 583,33 |
|
Комплекс мер 1 |
124,33 |
459,00 |
Объект: OC Windows NT |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
ПС: Инфраструктура и сетевые сервисы |
Риск до принятия мер: 160,71 |
|
|
|
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: Web-сервер |
Риск до принятия мер: 160,71 |
|
Комплекс мер 1 |
160,71 |
0,00 |
Объект: Система управления АИС |
Риск до принятия мер: 0,00 |
|
|
|
|
Комплекс мер 1 |
0,00 |
0,00 |
|
|
|
Объект: DNS |
Риск до принятия мер: 0,00 |
|
|
|
|
Комплекс мер 1 |
0,00 |
0,00 |
|
|
|
ПС: Бухгалтерия |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
|
|
|
Объект: Хранение и обработка финансовых данных |
Риск до принятия мер: 21,43 |
|
Комплекс мер 1 |
21,43 |
0,00 |
|
|
|
Объект: Система учета и анализа |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
|
|
|
ПС: Руководители и административный персонал |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: Персонал |
Риск до принятия мер: 62,50 |
|
Комплекс мер 1 |
0,00 |
62,50 |
Объект: База руководителей |
Риск до принятия мер: 0,00 |
|
Комплекс мер 1 |
0,00 |
0,00 |
ВЫВОДЫ
При анализе методик можно сделать вывод, что они дают схожие результаты. Однако методика Вихорева позволяет рассчитать более точно актуальность угроз, а также определить возможные варианты атак. При этом методы ПО «РискМенеджер-Анализ v3.5» являются более наглядными, так как рисуются столбчатые диаграммы, с помощью которых можно оценить более выгодные комплексы мер по защите. В связи с тем, что приемлемым остаточным риском считается риск ниже 390,5 руб., следует выбрать сформированный комплект мер, так как он соответствует требования.