Масштаб: Бизнес процесс
Риск: низкий
4. Модификация/уничтожение критичной информации
Вероятность: средняя
Масштаб: компания
Риск: средний
Для оценки рисков с уже известными контрмерами используем следующую матрицу:
|
Риск |
Масштаб |
|||
|
Контрмеры |
Бизнес процесс |
Компания |
Клиент |
|
|
Достаточные |
0 |
1 |
2 |
|
|
Недостаточные |
1 |
2 |
3 |
|
|
Отсутствует |
2 |
3 |
3 |
|
Риск оценивается как: 0 – незначительный, 1 – низкий, 2 – средний, 3 – высокий.
Рассмотрим следующие риски:
1. Риск заражения вредоносным ПО
Контрмеры: отсутствуют
Масштаб: клиент, т.к. могут быть украдены данные клиента с общего сервера.
Риск: высокий
2. Риск нарушения доступности информации
Контрмеры: достаточные (наличие ИБП, использование системы управления версиями)
Масштаб: компания
Риск: низкий
3. Риск неправомочной эксплуатации информационно-вычислительных ресурсов:
Контрмеры: недостаточные (использование программного межсетевого экрана, но требуется оценка контроля носителей, контроля ПО на компьютерах сотрудников);
Масштаб: компания
Риск: средний.
Таким образом, наиболее рисковыми областями в организации являются:
- Область интеллектуальной собственности;
- Область взаимодействия с заказчиками;
- Область антивирусной защиты;
Организационная структура ООО «ПО «»
Организационная структура отдела разработки программного обеспечения ПО «»
Цель аудита
Убедиться, что цели управления, средства управления, процессы и процедуры системы управления информационной безопасности (далее СМИБ), попадающие в область проведения аудита:
1. соответствуют стандарту ISO/IEC 27001-2013 и предъявляемым к ООО «ПО «» (далее Компания) законодательным, нормативным и другим обязательным требованиям, а также идентификацированным требованиям в области информационной безопасности;
2. результативно внедряются и поддерживаются;
3. функционируют должным образом.
Критерии аудита
1. Стандарт ISO/IEC 27001-2013 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;
2. Перечень законодательных и нормативных требований, предъявляемых к Компании.
Область проведения аудита
· Контекст организации, область применения СМИБ;
· Лидерство;
· Планирование, Обработка рисков, Цели ИБ;
· Поддержка, Ресурсы, Компетенции;
· Эксплуатация, Обработка рисков ИБ;
· Оценка результативности;
· ИБ при управлении проектами;
· Безопасность персонала во время работы;
· Увольнение и изменение должности;
· Приемлемое использование носителей информации;
· Управление доступом;
· Физическая безопасность и защита окружающей среды;
· Безопасность при обработке информации, Защита от вредоносного ПО, Управление техническими уязвимостями;
· Безопасность связи, Передача информации;
· Безопасность при разработке и при вспомогательных процессах;
· Соответствие требованиям законодательства и контрактным требованиям, Права интеллектуальной собственности.
Область действия СМИБ
Аудит проводится согласно программе проведения аудита, на территории отдела разработки программного обеспечения ПО «», который располагается на 1 этаже здания научно-технического центра ПО «» (здание № 5). В ходе проведения аудита будут проверены следующие процессы/средства управления/процедуры:
· Осведомленность сотрудников в области информационной безопасности;
· Антивирусная защита;
· Управление доступом;
· Управление непрерывностью бизнеса;
· Разграничение ответственности;
· Управление носителями информации.
Дата и место проведения аудита
1. Место проведения аудита: г. Казань, ул. 1.
2. Предварительное совещание по вопросам проведения аудита — 9.00 21.03.2016 г.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.