Практикум по информационной безопасности: Учебно-методическое пособие, страница 42

6.  Выбрать риски с уровнем Катастрофичный (если имеются). Выбирать контроли из доступных (таблица 8, раздел 4.3) для того, чтобы риски были снижены до уровня Умеренный. После этого выбором контролей и соответствующим расчетом рисков показать снижение уровня рисков до Несущественный. Рекомендация: для снижения уровня рисков необходимо добиться снижения вероятности наличия уязвимости, для чего   следует   выбирать   наиболее   значимые   контроли   n>0,5)   с   наименьшей эффективностью n<0,5).

7.  По завершении анализа сделать выводы по достигнутым результатам. Если достичь уровня рисков Несущественный не удалось, сформулировать и обосновать причины.

85


6.6   Задание 5. Расчет экономических параметров для обоснования плана мероприятий ИБ по снижению ИТ рисков

Описание ситуации

МТК недавно приобрела новый актив - компанию, предоставляющую транспортные услуги предприятиям строительной индустрии. МТК имеет намерение провести реорганизацию его нового бизнеса, поднять уровень ИТ, добиться надежного уровня защищенности информационных активов, после чего продать этот бизнес ориентировочно не менее чем через 5 лет. Поэтому принято решение не распространять пока па вновь приобретенную компанию Политику, стандарты ИБ и прочие организационно-административные документы, а провести независимую оценку состояния ИБ, оценить стоимость необходимых мероприятий ИБ и после этого вернуться к решению вопроса о судьбе приобретенного бизнеса.

По результатам анализа информационных рисков консультанты разработали План мероприятий по снижению ИТ рисков. Представленный CISO План вызвал серьезную озабоченность руководства МТК размером запрашиваемой суммы на его реализацию. CISO дано поручение подготовить экономическое обоснование запрашиваемых средств.

Содержание задания

1.   Рассчитать экономические показатели, описанные в разделе 4,5, используя данные, приведенные в Плане мероприятий по ИБ (таблица 2, раздел 4.2), исходя из того, что:

•  расчетный период равен 3-м годам;

•  остаточные риски и некоторые другие данные по реализуемым мероприятиям ИБ представлены в нижеприведенной таблице

Мероприятия

Риски(в монетарном исчислении)

,$

Стоимость меропрняти

я, $

Стоимость тех. поддержки

в год,S

Зарплата обслужива

ющего персонала в год,$

Величина остаточного риска, $

 

Разработка политик и стандартов безопасности

500 000

240, 000

24 000

0

500

 

Усиление антивирусной защиты

500 000

100, 000

20 000

12 000

1 000

 

Шифрование почтовых сообщений

1 000 000

120 000

24 000

6 000

10 000

 

Выявление и блокировка взломщиков и борьба с похищением данных

(Intrusion

Detection &

Anti-theft

Software)

100 000

300 000

30 000

24 000

1 000

2.  Сформулируйте содержательную интерпретацию полученных результатов, которую будете   использовать   для   убеждения   руководства   в   обоснованности   затрат   на обеспечение ИБ.

3.  Если  по  вашему мнению есть другие экономические  показатели, которые можно использовать для обоснования затрат па реализацию Плана, приведите их. обоснуйте ваш выбор и определите какие данные понадобятся для проведения расчетов.

6.7   Задание 6. Определение допустимости возможных ежегодных потерь от реализации угрозы.

МТК планирует приобрести транспортное предприятие, действующее в одной из стран ближнего зарубежья. В ходе предварительных контактов и ознакомления с деятельностью компании в распоряжении МТК оказались некоторые данные, характеризующие проблему сохранности ИТ инфраструктуры в случае возникновения пожара в здании, в котором размещается основное оборудование КИС: