Практикум по информационной безопасности: Учебно-методическое пособие, страница 40

требования к уровню безопасности. Документы, в которых обнаружены противоречия, должны быть доработаны.

Все работы по оценке ИТ рисков и управлению ими должны проводиться в соответствии со «Стандартом управления ИТ рисками» и «Методологией управления информационными рисками».

Содержание задания

1.  Используя вышеприведенную структуру Поли гики ИБ и имеющиеся заготовки с содержанием   разделов,   представленных   в   виде   отдельных   абзацев   текста, обосновать распределение абзацев текста по разделам 2-4 документа (часть 1).

2.  Имеются    текстовые    заготовки,   соответствующие    разделу    5    Политики   ИБ («Основные положения Политики ИБ»). Обосновать выбор только  тех абзацев, которые соответствуют смыслу разделу 5 и скомпоновать этот раздел (часть 2).

3.  Обосновать  и   распределить  по  разделам     6-11   абзацы  текста Политики  ИБ, исключенные в п.2 задания.

4.  Сформулировать   и   обосновать   роль   и   ответственность   за   обеспечение   ИБ Руководителя по ИТ (СЮ) в контексте уже прописанных в документе ролей и ответственностей пользователей. Компании и руководителя поИБ (для раздела 6).

5.  Разработать формат таблицы для фиксации вносимых изменений в Политику ИБ и включить ее в раздел 11 документа.

6.  На     основе     полученного     в     результате     выполнения     пи.      1-5     задания структурированного текста Политики  ИБ сформировать глоссарий терминов  и определений для раздела «Термины и определения».

6.5   Задание 4. Применение методологии OCTAVE для анализа информационных рисков

Oписание  ситуации

В компании МТК продолжается деятельность, направленная на систематическую работу по созданию системы управления информационными рисками. Руководство компании не удовлетворено тем, что, по его мнению, представляемые CISO планы работ по внедрению мер и средств защиты информационных активов не достаточно аргументированы. В частности отсутствуют объективные доказательства того, какие именно угрозы наиболее опасны   для   ценных   информационных   активов,   какие   уязвимости   могут   оказаться


наиболее критическими для реализации тех или иных угроз, какова вероятность ИТ рисков, способных нанести ущерб компании. Относительно величины ущерба также нет ясности, поскольку опять-таки не мотивировано принятие уровня ущерба в качестве приемлемого.

В итоге принято решение о необходимости проведения анализа информационных рисков. Для начала эта работа запланирована в головном офисе МТК. Приобретение соответствующего опыта позволит, как считает руководство компании, распространить его на другие подразделения компании и станет решающим шагом на пути систематического применения анализа информационных рисков для формирования обоснованных планов работ по укреплению ИБ.

Руководителю по ИБ поручено возглавить подготовку к реализации этого проекта. После изучения соответствующих материалов по используемым методологиям анализа информационных рисков, консультаций со специалистами предложено использовать методологию OCTAVE. Один из решающих факторов в пользу такого решения - ее ориентированность на анализ бизнес рисков. Кроме того, OCTAVE, в отличие от широко известных методологий CRAMM, RiskWatch. при проведении анализа не требует специфических знаний различных технологических аспектов ИБ и ИТ и по этой причине методология более понятна представителям бизнеса, чья роль в анализе ИТ рисков высока.

Содержание задания

1.  Сформулируйте цель каждого этапа работ по анализу рисков и решаемые задачи. Обоснуйте ваше мнение.

2.  От имени Рабочей группы заполните опросный лист. Для этого составьте список ИТ сервисов. Используя принятые величины ущерба (таблица 7, раздел 4.3) и значения вероятностей реализации угроз (таблица 6, раздел 4.3), заполните опросный лист (пример - таблица 4, раздел 4.3). Обоснуйте представленные результаты, опираясь па материал с описанием компании МТК.

3.  Используя результаты экспертизы по оценке эффективности контролей (оценивались контроли,    приведенные    в    таблице    8,    раздел    4.3),    которые    приведены    в нижеприведенной таблице, произвести следующие расчеты:

•  эффективности контролей (Эn);

•  значения уязвимостей по областям рисков.