аудиторов.
Высшее руководство организации утверждает сослав Рабочей группы и определяет руководителя работ.
Рабочая группа в полном составе должна пройти обучение (инструктаж) по Методологии перед началом работ.
Результатом этапа является утвержденная приказом по организации Рабочая группа, обладающая достаточными знаниями и компетенцией для проведения оценки ИТ рисков.
Целесообразно использовать в Рабочей группе по анализу ИТ рисков тех специалистов, которые участвовали в работе по классификации информационных активов по степени конфиденциальности.
Сбор информации. Сбор информации заключается в получении следующих сведений:
• перечень имеющихся на предприятии ИТ сервисов:
• используемые каждым подразделением ИТ сервисы;
• потенциальный ущерб в случае нарушения конфиденциальности, целостности и доступности информационных активов, обрабатываемых и хранимых в том или ином ИТ сервисе;
• вероятность реализации угроз в области нарушения конфиденциальности, целостности и доступности.
Сведения собираются путем проведения интервью с участниками Рабочей группы на основе опросного листа и пояснений к нему, приведенного ниже.
Таблица 4. Опросный лист Рабочей группы (пример)
|
ИТ-сервис |
Конфиденциальность |
Целостность |
Доступность |
|||||
|
Ущерб |
Вероятность |
Ущерб |
Вероятность |
Повреждение/ Потеря данных |
Недоступность |
|||
|
Ущерб |
Вер оят н |
Уще рб |
Вер оят н. |
|||||
|
Антивирусная защита |
К1 |
В2 |
У |
В |
В |
У |
В |
|
|
Шифрование почтовых сообщений |
К |
В |
3 |
В |
3 |
В |
У |
в |
Результатом этапа являются заполненные опросные листы участников Рабочей группы.
Оценка эффективности контролей. Защищенность информационных активов определяется эффективностью имеющихся контролей ИБ и их достаточностью.
Сведения о степени зрелости действующих контролей OCTAVE (достаточности и эффективности имеющихся мер защиты) собираются путем проведения интервью владельцев контролей (сотрудников отделов информационной и физической безопасности) и аудита результатов интервью с членами Рабочей группы (пример в нижеприведенной таблице). Для обеспечения объективности результатов в этой части работ, интервью и аудит их результатов осуществляется службой внутреннего ИБ аудита организации либо независимыми ИБ аудиторами.
Таблица 5. Пример оценки степени зрелости контролей (Оn).
1 Ущерб может
быть, например: Катастрофичный (К), Значительный (3), Умеренный (У),
Несущественный (Н). Уровни ущерба принимаются и утверждаются в компании по предлности наступления нежелательного события принимается и утверждается по предложению Рабочей группы.
2 Вероятность может быть, Высокая (В), Средняя (С), Низкая (Н). Установление таких градаций вероят
|
Степень зрелости контроля |
Коэффициент эффективности контроля (On) |
|
Эффективность контроля подтверждена результатами регулярных проверок |
1 |
|
Контроль существует (например, в виде процедур), по регулярные проверки его эффективности не выполняются |
0,5 |
|
Контроль отсутствует |
0 |
Результатом этапа является список контролей OCTAVE, действующих в компании, с оценками коэффициентов их эффективности.
Обработка информации. Производится расчет рисков для каждого информационного актива (информация и ИТ сервисы) в рассматриваемых областях ИТ рисков (конфиденциальность, целостность, доступность) по следующей формуле:
РИСК = Вероятность х Потенциальный ущерб х Уязвимость,
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.