|
ИТ сервис |
Величины рисков по областям ИТ рисков |
|||
|
Нарушение конфиденциаль ности |
Нарушение целостности |
Нарушение доступности |
||
|
Повреждение/ потеря данных |
Временный перерыв в доступности |
|||
|
Электронная почта |
Умеренный |
Несущественный |
Катастрофичный |
Значительный |
|
Сервис печати |
Катастрофичный |
Умеренный |
Несущественный |
Несущественный |
Таблица 2. Пример Плана мероприятий по снижению ИТ - рисков.
|
Мероприятия |
Снижаемые опеки |
Приоритет |
Стоимость ,$ |
Время реализации |
Отвстств- енный |
|
Разработка политик и стандартов безопасности |
Умеренный |
5 |
240, 000 |
8 |
CISO |
|
Усиление антивирусной защиты |
Значительный |
0 |
100,000 |
6 |
CISO |
|
Криптографич еская защита почтовых сообщений |
Катастрофичный |
0 |
120,000 |
10 |
CISO |
|
Выявление и блокировка взломщиков и борьба с похищением данных (Intrusion Detection & Ami-theft Software) |
Несущественный |
2 |
300, 000 |
16 |
CISO |
4.3 Организация и содержание работ по анализу рисков
Реализация методологии предусматривает выполнение следующих этапов работ:
• определение объема работ;
• формирование Рабочей группы;
• сбор информации;
• оценка эффективности контролей;
• обработка информации;
• составление Плана мероприятий по снижению рисков.
Определение объема работ. Необходимо определиться в каких подразделениях, филиалах, дочерних структурах компании, т.е. на каких площадках, будет проводиться анализ рисков и какие области ИТ рисков будут предметом анализа (таблица 3).
Таблица 3. Пример определения объема работ
|
Области ИТ рисков |
||||
|
Площадка |
Нарушение конфиденциальности |
Нарушение целостности |
Нарушение доступности |
|
|
Повреждение/ потеря данных |
Временный перерыв в доступности |
|||
|
Санкт-Петербург |
X X |
X |
X |
|
|
Екатеринбург |
X X |
X |
X |
|
|
… |
… |
… |
… |
|
Формирование Рабочей группы по анализу ИТ рисков. Состав Рабочей группы формируется исходя из цели и объема работы, поставленной перед подразделениями компании, филиалами, дочерними структурами, и должен включать в себя:
• владельцев тех информационных активов, которые соответствуют поставленной цели и запланированному объему работ;
• сотрудников подразделений, обладающих необходимыми знаниями бизнеспроцессов и способных оценить возможный ущерб для организации в случае реализации той или иной угрозы в каждой из областей ИТ рисков;
• владельцев контролей OCTAVE, т.е. сотрудников подразделений ИЬ и физической безопасности;
• сотрудников подразделения внутреннего ИТ аудита и/или независимых ИТ
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.