Практикум по информационной безопасности: Учебно-методическое пособие, страница 25

OP2.3.2

Межсетевой экран и другие средства обеспечения безопасности регулярно проверяются на соответствие стандартам конфигурирования.

0.3

0.3

0.1

0.1

OP2.6.1

Организация использует механизмы шифрования для защиты конфиденциальной и строго конфиденциальной

информации, включая: -Шифрование данных при передаче -Шифрование данных при хранении -Использование инфраструктуры открытых ключей -Технологии VPN -Шифрование для защиты всех соединений организации через сеть Интернет

0.5

0.5

0.1

0.1

OP3.1.2

Процедуры                     управления инцидентами             периодически тестируются и обновляются.

0.8

0.8

0.8

0.8

OP3.2.2

Сотрудники всех уровней исполняют закрепленные за ними обязанности по обеспечению информационной безопасности.

1.0

1.0

1.0

1.0

Расчет суммарной эффективности контролей (переменная «А» в вышеприведенной формуле) по данной области рисков производится сложением эффективностивсех контролей:

А=Э1+Э2+...+Эn

Эффективность всех контролей OCTAVE(переменная «В» в вышеприведенной формуле) рассчитывается аналогичным образом, причем коэффициент эффективности каждого из рассматриваемых контролей принимается равным единице.

Замечание

Одной из важнейших задач консультантов (экспертов), участвующих в Рабочей группе по анализу рисков, является отбор тех контролей OCTAVE из общего списка возможных (напомним, что их всего более двухсот), которые должны быть приняты к рассмотрению. Дело в том, что не все контроли оказываются значимыми для конкретной  ситуации,  в  которой  находится  компания.  Например,  если  компания


действует не в сейсмоопасной зоне, а, следовательно, угроза землетрясения отсутствует, то нет оснований включать в рассмотрение те контроли, которые позволяют снизить соответствующие риски.

Определение списка рассматриваемых контролей осуществляется консультантами па основе общей оценки состояния и проблем информационной безопасности в компании и данных тех интервью, которые проводятся со специалистами Рабочей группы по анализу рисков и Рабочей труппы по классификации данных по степени конфиденциальности. Другой вариант - использование данных предвари тельного ИБ аудита, который может быть, в том числе, реализован в компании соответствующим подразделением внутреннего аудита.

4.4   План мероприятий по снижению рисков

После получения Матрицы ИТ рисков разрабатывается План мероприятий (далее План) по их снижению до приемлемого уровня, значение которого определяется лицом, отвечающем в компании за управление информационными рисками.

Разработка Плана включает следующие этапы:

•  определение объема работ:

•  определение стоимости, приоритета и сроков реализации мер по снижению рисков;

•  утверждение Плана.

Определение объема работ по Плану (какие активы подлежат защите, в каких областях рисков, в каких подразделениях, филиалах, дочерних структурах компании) выполняет группа экспертов организации. В случае недостаточной компетенции привлекаются внешние консультанты. Разработка Плана ведется под контролем высшего должностного лица компании ответственного за ИБ.

Планируемые меры снижения ИТ рисков должны быть ранжированы по эффективности в отношении рисков большей величины, проведена ориентировочная оценка стоимости и сроков их реализации (эффективность контролей OCTAVE прямо пропорциональна коэффициентам значимости, приведенным в таблице 8). Стоимость