|
№ по OCTAVE |
Описание контроля |
Значения коэффициентов Оn, Кn |
|||||||
|
Конфиденциальность |
Целостность |
Доступность |
|||||||
|
Повреждение/ потеря данных |
Недоступность сервиса |
||||||||
|
On |
Кn |
On |
Кn |
On |
Кn |
On |
Кn |
||
|
SP1.1 |
Пользователи ознакомлены со своими задачами и ответственностью в области информационной безопасности. Задачи и ответственность пользователей документально оформлены и исполняются. |
0 |
0,8 |
0 |
0,8 |
0 |
0.8 |
0 |
0,8 |
|
SP3.2 |
Ответственность за обеспечение безопасности включена в трудовые соглашения и/или должностные инструкции всех сотрудников. |
0,5 |
0,7 |
0, 5 |
0,7 |
0,5 |
0,1 |
0,5 |
0,1 |
|
OPl.1.1 |
Существуют утвержденные планы физической защиты помещений. |
1 |
0,8 |
1 |
0,8 |
1 |
0,8 |
1 |
0,8 |
|
OP2.1.1 |
Существует утвержденный план защиты систем и сетей. |
0.5 |
0,2 |
0,5 |
0,2 |
0,5 |
0,2 |
0,5 |
0,2 |
|
OP2.1.9 |
Сотрудники IT следуют утвержденным процедурам предоставления, изменения и удаления учетных записей, прав и паролей. Уникальные идентификаторы применяются для всех пользователей, включая третьих лиц. Пароли, устанавливаемые по умолчанию, изменены для всех систем. |
0 |
0,8 |
0 |
0,8 |
0 |
0,1 |
0 |
0,1 |
|
OP2.3.2 |
Межсетевой экран и другие средства обеспечения безопасности регулярно проверяются на соответствие стандартам конфигурирования. |
0,5 |
0,3 |
0,5 |
0,3 |
0,5 |
0,1 |
0,5 |
0,1 |
|
OP2.6.1 |
Организация использует механизмы шифрования для защиты конфиденциальной и строго конфиденциальной информации, включая: -Шифрование данных при передаче; -Шифрование данных при храпении; -Использование инфраструктуры открытых ключей; -Технологии VPN; -Шифрование для защиты всех соединений организации через сеть Интернет. |
0,5 |
0,5 |
0.5 |
0,5 |
0,5 |
0.1 |
0,5 |
0,1 |
|
OP3.1.2 |
Процедуры управления инцидентами периодически тестируются и обновляются. |
0 |
0,8 |
0 |
0,8 |
0 |
0,8 |
0 |
0,8 |
|
OP3.2.2 |
Сотрудники всех уровней исполняют закрепленные за ними обязанности по обеспечению информационной безопасности. |
0 |
1,0 |
0 |
1,0 |
0 |
1,0 |
0 |
1,0 |
4. Рассчитать величины информационных рисков по всем ИТ сервисам для анализируемы областей рисков, представив результаты в виде Матрицы информационных рисков (таблица 1, раздел 4.2). Результаты должны быть представлены в числовом и качественном виде, например: 0,72 млн. - Значительный.
5. Проанализировать матрицу рисков для определения рисков, которые превышают приемлемый уровень (таковым является уровень риска - Несущественный).
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.