Практикум по информационной безопасности: Учебно-методическое пособие, страница 43

•  стоимость ИТ оборудования оценивается в 1млн. долларов (AV - Asset Value);

•  в результате пожара как минимум будет утрачено примерно 50% стоимости ИТ оборудования (EF - Exposure Factor);

•  вероятность   реализации   угрозы   пожара,   оцениваемая   частотой   негативного события в течение года, составляет один раз в десять лет (ARO - Annualized Rate of Occurrence).

Анализируя полученные данные, руководство МТК склоняется к предложению C1SO рассмотреть возможность страхования ИТ инфраструктуры от пожара. Это связано с тем, что ни в данный момент ни в ближайшее время не удастся решить проблему надежной защиты ИТ инфраструктуры от имеющейся угрозы.


Содержание задания

1.  Вывести формулу и произвести расчет величины ежегодного ущерба для компании при реализации угрозы пожара.

2.  Сформулировать содержательную интерпретацию полученного результата.

3.  Представьте обоснованную точку зрения на то, целесообразно или нет поднимать вопрос о страховании ИТ инфраструктуры, исходя из предложения страховой премии 3% стоимости имущества в год. Амортизация ИТ инфраструктуры составляет 25% в год.


Решение к заданию 1

Модель построения системы информационной безопасности


Список функциональных воздействий

1.  ... стремится уменьшить...

2.  ...реализует ...

3.  .. .стремится сохранить...

4.  ...потери...

5.  ...приводят к...

6.  ... стремится усилить...


7...против...

8...воздействуют через...

9...увеличивают...

10...направлены на...

11...использует...

12...направлены против...

Естественное воздействие

 

Управляющее воздействие

 
 


Основные структурные разделы презентации по основам ИБ

1.  Корпоративная информационная сеть и информационные системы - примеры негативных воздействий и последствия для компании.

2.  Понятие   информационной   безопасности.   Основные   определения   и   примеры понятий    информационной   безопасности:    угрозы,    уязвимости,   риски,   ущерб, контрмеры.

3.  Области информационных рисков: конфиденциальность, доступность, целостность. Примеры нарушений ИБ в областях информационных рисков и последствия для деятельности компании.

4.  Субъекты информационных отношений (собственник, владелец, пользователь), их обязанности и ответственность в обеспечении ИБ.

5.  Последствия   нарушений  ИБ  в  различных  сферах   информационных  рисков для субъектов информационных отношений.

6.  Понятие системы информационной безопасности    и характеристика ее основных компонентов.

7.  Роли подразделения ИБ компании на примере модели построения системы ИБ.

Основные  роли  подразделения  ИБ  в  обеспечении  информационной  безопасности  (на основе модели системы ИБ)


1.  Определение   актуальных   угроз   безопасности   по   основным   областям   рисков (конфиденциальность,   целостность,   доступность)  для   ценных   информационных активов.

2.  Выявление и устранение уязвимостей корпоративной информационной сечи.

3.  Принятие   адекватных   угрозам  безопасности   ценных   информационных   активов контрмер   для   снижения   информационных   рисков   (защиты   информационных активов).

4.  Участие в деятельности  по определению ценности  информационных активов  и оценке     потенциального     ущерба    для     компании     в     случае     возникновения информационных рисков.