Читайте также: |
|
При исследовании рисков и слабых сторон каждого слоя ИТ списка, определяются отдельные недостатки, а также целые слои, способные стать причиной риска для вышестоящих слоев.
Как минимум следует произвести следующие шаги оценки риска:
· Определить риски для конкретных компонентов ИТ сервиса (ресурсы), поддерживающих процесс доставки, которые могут стать причиной сбоя в работе соответствующего сервиса на каждом из слоев по следующему сценарию:
· Нарушение или отказ в доступе к корпоративным ресурсам клиентам, работникам, деловым партнерам или операторам.
· Сбой в работе ИТ систем, сетей, офисной АТС, систем автоматического распределения вызовов, сетевых устройств защиты, криптографических систем, инфраструктуры открытого ключа (PKI) и т. д.
· Потеря связи с клиентом или внутренних данных либо потеря надежности данных.
· Потеря связи с сетевыми сервисами, включая провайдеров телекоммуникационных услуг.
· Недоступность основного персонала (например, единственный человек знает, как работает какой-либо очень важный сетевой сервер или бизнес приложение), и не существует никакой документации.
· Сбой в работе партнера или поставщика сервисов (таких как, поддержка, разработка или обслуживание).
· Нарушение работы службы безопасности (такие как мошенничество, саботаж, компьютерный вирус либо вредоносное программное средство).
· Нарушение микроклимата (например, кондиционирования воздуха).
· Потеря важных бумажных записей или носителей (таких как руководства, документы, резервные копии и т. д.).
· Нарушение коммуникаций (энергообеспечение, газ или водоснабжение).
· Оценка уровней угрозы и уязвимости. Угроза определяется тем, насколько вероятна возможность возникновения инцидента, а уязвимость тем, может ли материализовавшаяся угроза повредить организации и до какой степени. Угроза зависит от следующих факторов:
· Оценка возможной мотивации, способности и средств для добровольного допущения инцидентов, таких как преднамеренное повреждение компьютерных систем организации, банкротство основного технологического провайдера, атака на провайдера сервиса Интернет (ISP) и на провайдера сервиса приложений (ASP), и порча решений и/или информации ISP/ASP.
· Оценка местоположения, окружения, и качества внутренних систем и механизмов вашего сервис провайдера (в случае возникновения непредвиденного случая).
· Оценка местоположения, окружения, и качества внутренних систем и механизмов вашей организации (в случае возникновения непредвиденного случая).
· Поиск единичных отказов сервисов. (Например, туристический агент полагается на информацию о покупке авиабилетов, полученной от ASP. В случае потери связи, покупка неосуществима).
· Оценка степени риска. Можно измерить общий уровень риска. Это осуществляется путем измерений (если нужно собрать количественную информацию) или качественной оценки, используя субъективный подход (например, низкий, средний или высокий). Пример отображения уровня риска в табличном формате приведен в Таблице 1. каждый риск можно оценить согласно критериям потенциальной угрозы и уязвимости. С помощью таблицы можно определить вероятность возникновения конкретных рисков (например, высокий уровень угрозы и сильная уязвимость свидетельствуют о высокой вероятности возникновения события).
Соотнесение рисков с расположенными в верхней графе ИТ слоями дает четкое представление об уязвимых сторонах, а также о воздействии, которое они могут оказывать.
Исследуя слои на предмет уязвимости, решения можно найти в вышестоящем ИТ слое, где риск или уязвимость даже не приняты во внимание. Процесс оценки риска может также определять риски, относящиеся к отдельным технологиям или приложениям. Определение всех взаимозависимостей этих процессов резко повышает вероятность успешного восстановления системы.
В нижеприведенной таблице частично показана оценка риска. Важно понимать, что в ней перечислены не все риски, а лишь некоторые. Кроме того, каждый раздел, обозначенный как уязвимый, предполагает, что все разделы, расположенные справа от него, также уязвимы. В случае если в здании пожар, сеть, аппаратные средства, операционная система и т. д. становятся недоступными.
Таблица 1. Оценка риска
Риск | Выход | Строения | Сеть | Аппаратные средства | Операционная система | Промежуточное программное обеспечение | Приложение | Сервис |
Пожар | Ср. | |||||||
Наводнение | Нз. | |||||||
Вирус | Вс. | |||||||
Перерыв в энергоснабжении | Ср | |||||||
Отказ входа в систему | Ср. | |||||||
Нехватка персонала | Ср. | |||||||
Человеческий фактор | Ср. |
Все риски доступности каждого из ИТ компонентов необходимо принимать во внимание. Природа рисков ИТ компонентов варьируется в зависимости от того, к какому ИТ слою MOF относится компонент.
Ниже приведены примеры рисков доступности ИТ слоя:
· Приложение, промежуточное программное обеспечение и операционная система
· Единичный отказ
· Неверная опция конфигурации
· Конструктивный дефект
· Некачественная методология разработки
· Ошибка в коде
· Аппаратные средства и сеть
· Единичный отказ
· Устаревшее встроенное программное обеспечение
· Низкое качество документации
· Качество поддержки поставщика
· Недостаток антистатических мер предосторожности
· Недостаток запасных частей
· Некачественная маркировка кабелей
· Строения
· Недостаточная мощность кондиционирования воздуха
· Перерыв в энергоснабжении
· Скачки напряжения
· Пожар и наводнение
· Физическая безопасность
· Выход
· Единственный источник подачи энергии в здании
· Единственный источник связи
· Сотрудники
· Низкое качество рабочего процесса
· Недостаток дисциплины
· Недостаток рабочих навыков
· Подверженность той же катастрофе, что и вся ИТ инфраструктура
· Недоступность коммуникаций
· Невозможность выезда на место чрезвычайной ситуации
Дата добавления: 2015-11-14; просмотров: 33 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Локальная вычислительная сеть | | | Предложение решения по выходу из чрезвычайной ситуации |