b-сервер. Дані в цих системах можуть бути доступні широкому колу осіб без шкоди для підприємства.
Складемо ранжувати таблицю загроз, в якій розпишемо оцінку ймовірності, технічну вразливість, ризики і рішення.
Таблиця 17
УгрозаВероятностьТехніческая уязвімостьРіскіРешеніеАтака на дані сервера розробки ВисокаяСредняяВисокіеМінімізіроватьВиход з ладу сервера розробки або зміна/знищення даннихВисокаяСредняяВисокіеІзбежатьАтака на дані системи електронного документооборотаСредняяНизкаяВысокиеИгнорироватьВыход з ладу системи електронного документообігу або зміна/знищення даннихСредняяСредняяСредніеІзбежатьАтака на дані системи роботи з кліентаміСредняяСредняяСредніеМінімізіроватьВиход з ладу системи роботи з клієнтами або зміна/знищення даннихСредняяСредняяСредніеІзбежатьКража 1С: БухгалтерияСредняяСредняяСредниеМинимизироватьВыход з ладу 1С: Бухгалтерія або зміна/знищення даннихСредняяСредняяСредніеІзбежатьКража 1С: Кадри СредняяСредняяСредніеМінімізіроватьВиход з ладу 1С: Кадри або зміна/знищення даннихСредняяСредняяСредніеІзбежатьВиход з ладу сервера безпеки або зміна/знищення даннихСредняяСредняяСредніеІзбежатьАтака на дані бізнес-планаНізкаяСредняяНізкіеІгноріроватьВиход з ладу сервера з бізнес-планом або зміна/знищення даннихНізкаяСредняяНізкіеІгноріроватьКража даних системи видеонаблюденияНизкаяСредняяНизкиеИгнорироватьВыход з ладу системи відеоспостереження або зміна/знищення даннихНізкаяСредняяНізкіеІгноріроватьАтака на дані бази нормативно-методичної документацііНізкаяСредняяНізкіеІгноріроватьВиход з ладу сервера нормативно-методичної документації або зміна/знищення даннихНізкаяСредняяНізкіеМінімізіроватьВиход з ладу Web-сервера або зміна/знищення даннихНізкаяСредняяНізкіеМінімізіровать
Покладемо, що ймовірність загрози низька (до 30%), середня (від 31% до 49%), висока (понад 50%).
На підприємстві існують механізми захисту, але є якісь уразливості. Тому вразливість середня.
А величина ризику визначається як усереднена величина річних втрат організації у разі реалізації загрози: низький (до 10% річного доходу), середній (від 10% до 40% річного доходу), високий (від 41% річного доходу.)
При ухваленні рішення необхідно враховувати ступінь ефективності конкретного варіанту обробки ризиків.
На виході методу OCTAVE виникає план обробки ризиків, що включає набір контрзаходів, їх вартість, терміни і відповідальних за реалізацію.
Таблиця 18 Детальна обробка ризиків за деякими із загроз.
УгрозаНабор контрзаходів з поясненіяміСтоімостьОтветственнийАтака на дані сервера розробки Мінімізувати. Оскільки даний інформаційний ресурс відноситься до основного бізнес-процесу, його потрібно максимально захищати, тому що реалізація загрози підривати роботу всього підприємства. Цінність інформації даного ресурсу висока. Необхідно мінімізувати ймовірність загрози в ідеалі до нуля. Припустимо, що в системі інформаційної безпеки підприємства для аутентифікації використовується пароль довгою 6 символів, тому існує уразливість у вигляді підбору/крадіжки пароля. В якості контрзаходів введемо обов'язковий пароль достатньої довжини, термін життя якого 2 місяці, і електронний аутентифікатор, заборонити підключення до зовнішніх носіїв для комп'ютерів, що мають доступ до даного серверу.Цена електронного аутентифікатора * кількість співробітників, що використовують даний ресурс. Вартість даних контрзаходів нижче вартості інформацією, вартість устраівает.Сотруднік служби безопасності.Виход з ладу сервера розробки або знищення зміна даних на даному ресурсеІзбежать. Тобто необхідно уникнути наслідків, які виникнуть в наслідку реалізації загрози. Оскільки даний інформаційний ресурс відноситься до основного бізнес-процесу, його потрібно максимально захищати, тому що реалізація загрози підривати роботу всього підприємства. Цінність інформації даного ресурсу висока. Але мінімізація ризиків в даному випадку менш ефективна. Припустимо, що наше підприємство має аварійне електрику. І щоб уникнути наслідків, необхідно придбати додатковий сервер, дублюючий даний інформаційний ресурс. В результаті виходу з ладу даного ресурсу, його замінить дублюючий сервер. Доступ до дублюючому сервера необхідно строго регламентувати і призначити за нього відповідального в службі безопасності.Цена сервера. Вартість контрзаходів нижче вартості інформацією, вартість устраівает.Сотруднік служби безопасності.Атака на дані системи електронного документооборотаІгноріровать. Припустимо, що СЕД підприємства технічно максимально захищена і немає сенсу витрачати кошти на мінімізацію ризиків або уникнути наслідків .-- Вихід з ладу системи ел. документообігу або зміна/знищення даних на ресурсеІзбежать. Припустимо, що наше підприємство має аварійне електрику. В якості контрзаходів п...
