OP 1.1.1 |
Существуют утвержденные планы физической защиты помещений. |
0.8/0,8 |
0.8/0,8 |
OP2.1.1 |
Существует утвержденный план защиты систем и сетей. |
0.2/0,1 |
0.2/0,1 |
OP2.1.9 |
Сотрудники IT следуют утвержденным процедурам предоставления, изменения и удаления учетных записей, прав и паролей. Уникальные идентификаторы применяются для всех пользователей, включая третьих лиц. Пароли, устанавливаемые по умолчанию, изменены для всех систем. |
0.8/0,8 |
0.8/0,8 |
OP2.3.2 |
Межсетевой экран и другие средства обеспечения безопасности регулярно проверяются на соответствие стандартам конфигурирования. |
0.3/0,3 |
0.3/0.3 |
OP2.6.1 |
Организация использует механизмы шифрования для защиты конфиденциальной и строго конфиденциальной информации, включая: -Шифрование данных при передаче -Шифрование данных при хранении -Использование инфраструктуры открытых ключей -Технологии VPN -Шифрование для защиты всех соединений организации через есть Интернет |
0.5/0,25 |
0.5/0,25 |
ОРЗ.1.2 |
Процедуры управления инцидентами периодически тестируются и обновляются. |
0.8/0,8 |
0.8/0,8 |
ОРЗ.2.2 |
Сотрудники всех уровней исполняют закрепленные за ними обязанности по обеспечению информационной безопасности. |
1.0/1,0 |
1.0/1,0 |
Сумма (On) : Сумма (Кn) |
0,91 |
0,91 |
|
1-(А/В)=1-(Сумма (On) : Сумма (Кn)) |
0,09 |
0,09 |
Таким образом, усилив контроли (выделенные синим цветом) до уровня, когда их действенность подтверждается аудитом, получим
ИТ-сервис |
Конфиденциальность |
Целостность |
PLANNER |
0,09*1*1 млн =0,09 млн. -Несущественный |
0,09*0,25*0,5млн =0,011 млн-Несущественный |
ADMIN |
0,09* 1*0,5млн =0,045 млн. Несущественный |
0,09* 1*1млн.=0,09 млн.-Несущественный |
Выводы
1. Снижение уровней риска со Значительного до Несущественного достигнуто в результате внедрения контролей из предложенного списка.
2. Результат удалось достичь благодаря тому, что потребовалось существенно повысить эффективность (On) контролей. Это означает, что трудоемкость внедрения контролей на практике может оказаться весьма высокой. Поэтому, в принципе возможны другие решения: рассмотреть применение других контролей (если имеется такая возможность); рассмотреть возможность страхования рисков.
Решение к заданию 5
План мероприятий по снижению ИТ рисков
Мероприятия |
Риски |
Приоритет |
Стоимость ,$ |
Время реализации |
Отвстств сними |
Разработка политик и стандартов безопасности |
Умеренный |
5 |
240, 000 |
8 |
CISO |
Усиление антивирусной защиты |
Умеренный |
0 |
100,000 |
6 |
CISO |
Криптографич еская защита почтовых сообщений |
Значительный |
0 |
120,000 |
10 |
CISO |
Выявление и блокировка взломщиков и борьба с похищением данных (Intrusion Detection & Anti-theft Software) |
Несущественный |
2 |
300, 000 |
16 |
CISO |
Дополнительные данные для расчетов
• расчетный период равен 3-м годам;
• остаточные риски и некоторые другие данные по реализуемым мероприятиям ИБ представлены в нижеприведенной таблице
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.