Расчёт информационных рисков компании «Softline»
Компания Softline работает на рынке информационных технологий с 1993 года и занимает одно из лидирующих положений в области лицензирования программного обеспечения и предоставления смежных услуг – IT-образования, консалтинга, юридической поддержки, технической поддержки и IT-аутсорсинга.
В настоящее время компания является авторизованным партнером и реселлером более 3000 компаний-производителей программного обеспечения.
Softline предлагает своим клиентам комплексный подход в предоставлении IT-услуг: от лицензирования ПО до внедрения сложных комплексных IT-решений, от обучения специалистов до технического сопровождения IT-системы заказчика.
Softline имеет представительства в 65 городах 21 стран. Основная транспортная сеть построена на базе технологи SDH и MetroEthernet/IP/MPLS. Сеть SDH имеет кольцевую структуру и насчитывает около 230 узлов с пропускной способностью от STM-1 до STM-64. Сеть MetroEthernet/IP/MPLS имеет трехуровневую архитектуру и состоит из магистральной сети, сети агрегации и сети доступа. Уровень магистрали и агрегации построен с использованием резервированных многосвязных схем и насчитывает 31 узел с пропускной способностью от 2,5 до 10 Гбит/с. Уровень доступа состоит из 520 узлов концентрации размещенных на 300 площадках и 15000 узлов доступа. Основная применяемая технология доступа Ethernet, а в некоторых районах используется технология ADSL2+. В сети так же активно используется технология DWDM и PON.
IT Сервисы
Передача информации внутри корпоративной сети, электронная почта, хранение данных, создание информации с использованием информационной системы, доступ в интернет, сервис печати.
Опросный лист
ИТ-Сервис | Конфиденциальность | Целостность | Доступность |
| |||||||
Ущерб | Вероятность | Ущерб | Вероятность | Повреждение\потрея данных | Недоступность |
| |||||
Ущерб | Вероятность | Ущерб | Вероятность |
| |||||||
электронная почта | Н | В | У | С | З | Н | З | С |
| ||
доступ в интернет | Н | С | У | В | Н | В | К | С |
| ||
хранение данных | К | В | З | С | К | С | З | С |
| ||
передача информации внутри корпоративной сети | З | С | К | Н | К | С | К | С |
| ||
создание информации с использованием информационной системы | У | Н | Н | Н | У | С | У | Н |
| ||
сервис печати | У | Н | У | Н | У | С | У | Н |
| ||
|
|
| |||||||||
Ущерб может быть: Катастрофичный (К), Значительный (3), Умеренный (У), Несущественный (Н)
Вероятность может быть: Высокая (В), Средняя (С), Низкая (Н).
Расчёт эффективностей контролей и Значения уязвимости по областям рисков.
+
Расчет эффективности одного контроля в одной из областей ИТ рисков производится перемножением коэффициента эффективности данного контроля на коэффициент его значимости в данной области:
Эn=Оn х Кn,
где:
Оn - оценка эффективности контроля;
Кn - коэффициент значимости контроля в данной области рисков.
Величина уязвимости рассчитывается по формуле:
1 - (А: В),
где:
А - эффективность имеющихся (внедренных) контролей
В - эффективность всех контролей OCTAVE.
Эффективность всех контролей OCTAVE (переменная «В» в вышеприведенной формуле) рассчитывается аналогичным образом, причем коэффициент эффективности каждого из рассматриваемых контролей принимается равным единице.
Таким Образом, Эффективность имеющихся контролей по конфиденциальности будет равна
A1= 0+0,24+0,7+0,8+0+0,12+0,36+0+0=2,22
А Эффективность всех контролей OCTAVE по конфиденциальности будет равна
B1=1*9=9
Соответственно Значение Уязвимости по конфиденциальности будет равно
1-(2,22/9)= 0,75
Эффективность имеющихся контролей по Целостности будет равна
A1= 0+0,24+0,7+0,8+0+0,12+0,36+0+0=2,22
А Эффективность всех контролей OCTAVE по Целостности будет равна
B1=1*9=9
Соответственно Значение Уязвимости по Целостности будет равно
1-(2,22/9)= 0,75
Эффективность имеющихся контролей по Доступности при повреждении/потери данных будет равна
A1= 0+0,04+0,7+0,08+0+0,06+0,06+0+0=0,94
А Эффективность всех контролей OCTAVE по Доступности при повреждении/потери данных будет равна
B1=1*9=9
Соответственно Значение Уязвимости по Доступности при повреждении/потери данных будет равно
1-(0,94/9)= 0,89
Эффективность имеющихся контролей по Доступности при недоступности сервиса будет равна
A1= 0+0,04+0,7+0,08+0+0,06+0,06+0+0=0,94
А Эффективность всех контролей OCTAVE по Доступности при недоступности сервиса будет равна
B1=1*9=9
Соответственно Значение Уязвимости по Доступности при недоступности сервиса будет равно
1-(0,94/9)= 0,89
Матрица ИТ-Рисков
ИТ-Сервис | Величины Рисков по областям ИТ рисков | |||
Нарушение конфиденциальности | Нарушение Целостности | Нарушение доступности | ||
Повреждение/Потеря данных | Временный перерыв в доступности | |||
электронная почта | Несущественный 20 т. | Умеренный 245 т. | Несущественный 45 т. | Несущественный 70 т. |
доступ в Интернет | Несущественный 10 т. | Умеренный 145 т. | Несущественный 25 т. | Несущественный 5 т. |
хранение данных | Катастрофичный 1,5 млн. | Значительный 0,75 млн. | Катастрофичный 7 млн. | Значительный 0,5 млн. |
передача информации внутри корпоративной сети | Умеренный 0,4 млн. | Значительный 0,63 млн. | Значительный 0,83 млн. | Значительный 0,6 млн. |
создание информации с использованием информационной системы | Умеренный 0,1 млн. | Значительный 0,2 млн. | Умеренный 395 т. | Умеренный 320 т. |
Сервис печати | Несущественный 10т. | Умеренный 97 т. | Умеренный 197 т. | Умеренный 267 т. |
План мероприятий по снижению ИТ рисков при помощи контролей OCTAVE
Мероприятия | Снижаемые опеки | Приоритет | Время реализации(дн.) | Ответственный |
Усовершенствовать и утвердить планы физической защиты помещений | Катастрофичный | CISO | ||
Изменить и усовершенствовать процедуры предоставления, изменении и удаления учётных записей, прав и паролей. | Катастрофичный | CISO | ||
Протестировать и обновить процедуры управления инцидентами | Значительный | CISO | ||
Ознакомить пользователей с их задачами и ответственностью в области информационной безопасности, оформит документально. | Значительный | CISO | ||
Контролировать исполнение своих обязанностей по обеспечению информационной безопасности сотрудниками всех уровней. | Значительный | CISO | ||
Проверять на соотвествие стандартам все средства информационной безопасности | Умеренный | CISO | ||
Использовать механизмы шифрования для защиты конфиденциальной и строго конфиденциальной информации | Умеренный | CISO | ||
Утвердить план по защите систем и сетей | Умеренный | CISO |
Для снижения уровня рисков используются контроли с наиболее высоким Коэффициентов значимости в необходимой области.
После осуществления данных мероприятий в компании не должно остаться рисков с неприемлемым уровнем.
Дата добавления: 2015-08-28; просмотров: 42 | Нарушение авторских прав
| <== предыдущая лекция | | | следующая лекция ==> |
| Material for Modernism. Post-Modernism’ | | | Расчет амортизационных отчислений на полное восстановление основных средств за _____ 20__ г. |