|
SP1.1 |
Пользователи ознакомлены со своими задачами и ответственностью в области информационной безопасности. Задачи и ответственность пользователей документально оформлены и исполняются. |
0,8/0,4 |
0,8/0,4 |
|
SP3.2 |
Ответственность за обеспечение безопасности включена в трудовые соглашения и/или должностные инструкции всех сотрудников. |
0.7/0,35 |
0.7/0,35 |
|
OP1.1.1 |
Существуют утвержденные планы физической защиты помещений. |
0.8/0,8 |
0.8/0,8 |
|
OP2.1.1 |
Существует утвержденный план защиты систем и сетей. |
0.2/0,1 |
0.2/0,1 |
|
OP2.1.9 |
Сотрудники IT следуют утвержденным процедурам предоставления, изменения и удаления учетных записей, прав и паролей. Уникальные идентификаторы применяются для всех пользователей, включая третьих лиц. Пароли, устанавливаемые по умолчанию, изменены для всех систем. |
0.8/0,4 |
0.8/0,4 |
|
OP2.3.2 |
Межсетевой экран и другие средства обеспечения безопасности регулярно проверяются на соответствие стандартам конфигурирования. |
0.3/0,15 |
0.3/0,15 |
|
OP2.6.1 |
Организация использует механизмы шифрования для защиты конфиденциальной и строго конфиденциальной информации, включая: -Шифрование данных при передаче -Шифрование данных при хранении -Использование инфраструктуры открытых ключей -Технологии VPN -Шифрование для защиты всех соединений организации через сеть Интернет |
0.5/0,25 |
0.5/0,25 |
|
ОРЗ.1.2 |
Процедуры управления инцидентами периодически тестируются и обновляются. |
0.8/0,4 |
0.8/0,4 |
|
ОРЗ.2.2 |
Сотрудники всех уровней исполняют закрепленные за ними обязанности по обеспечению информационной безопасности. |
1.0/0.5 |
1.0/0..5 |
|
Сумма (On) : сумма (Кn) |
0.57 |
0,57 |
|
1-(А/В)=1-(Сумма (On) : сумма (Кn)) |
0.43 |
0.43 |
|
ИТ-сервис |
Конфиденциальность |
Целостность |
|
PLANNER |
0,43*1*1млн.=0,43 млн.-Умеренный |
0,43*0,25*0,5млн. -0.054 млн.-Несущественный |
|
ADMIN |
0,43*1*0,5млн =0,215 млн. - Умеренный |
0,43*1*1млн.=0,43 млн.-Умеренный |
2-ой этап
Для снижения рисков до целевого уровня («Несущественный») необходимо теперь добиться снижения рисков для:
1. PLANNER по конфиденциальности;
2. ADMIN по конфиденциальности и модификации (целостности).
Для этой цели выбираем наиболее значимые контроли (Кn>0,5) с наименьшей эффективностью (On<0,5): SP1.1, ОР2.1.9, ОРЗ.1.2, ОРЗ.2.2. Внедрив выбранные контроли, получим:
|
№ по OCTAVE |
Описание контроля |
Коэффициенты по областям ИТ-рисков |
|
|
Конфиденциальнссть (Кn/Эn=Оn*Кn) |
Целостность (Кn/Эn=Оn*Кn) |
||
|
SP1.1 |
Пользователи ознакомлены со своими задачами и ответственностью в области информационной безопасности. Задачи и ответственность пользователей документально оформлены и исполняются. |
0,8/0,8 |
0,8/0,8 |
|
SP3.2 |
Ответственность за обеспечение безопасности включена в трудовые соглашения и/или должностные инструкции всех сотрудников. |
0.7/0,7 |
0.7/0,7 |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.