ридбаємо сервер, який будемо використовувати в якості сервера відновлення. Важливі документи продублюємо на даний сервер. До сервера відновлення доступ строго регламентірован.Цена сервера. Вартість контрзаходів нижче вартості інформацією, вартість устраівает.Сотруднік служби безопасностіАтака на дані системи роботи з кліентаміМінімізіровать. Припустимо, що політикою безпеки підприємства як аутентифікатора передбачений пароль малої довжини. Мається ризик підбору/крадіжки пароля. Тому як контрзахід збільшимо обов'язкову довжину пароля, термін життя якого 3 месяца.НізкаяСотруднік служби безопасностіВиход з ладу системи роботи з клієнтами або зміна/знищення даних на ресурсеІзбежать. При обробці загрози виходу з ладу СЕД, ми придбаємо сервер відновлення. Тому в якості контрзаходів, всі важливі дані дублювати на даний сервер.НізкаяСотруднік служби безопасностіАтака на дані бізнес-планаІгноріровать. Дані мають низьку цінність, тому сенсу витрачати кошти на поліпшення захисту сенсу немає .-- Вихід з ладу Web-сервера або зміна/знищення даннихМінімізіровать. Імовірність загрози низька, цінність даних низька, але все ж цінність є. Тому просто продублюємо важливі дані на сервер восстановленія.НізкаяСотруднік служби безпеки
Таблиця 19 Повна обробка ризиків
УгрозаНабор контрмерСтоімостьОтветственнийАтака на дані сервера розробки - пароль достатньої довжини і терміном життя 2 місяці - електронний аутентіфікаторПріемлемаяСотруднік служби безопасностіВиход з ладу сервера розробки або зміна/знищення даних- дублюючий сервер, із суворим регламентом доступаПріемлемаяСотруднік служби безопасностіАтака на дані СЕДІгноріроватьВиход з ладу СЕД або зміна/знищення даних- сервер відновлення, із суворим регламентом доступаПріемлемаяСотруднік служби безопасностіАтака на дані системи роботи з кліентамі- пароль достатньої довжини і терміном життя 3 месяцаНізкаяСотруднік служби безопасностіВиход з ладу системи роботи з клієнтами або зміна/знищення даних- важливі дані дублюємо на сервер восстановленіяНізкаяСотруднік служби безопасностіКража 1С: Бухгалтерія- пароль достатньої довжини і терміном життя 3 месяцаНізкаяСотруднік служби безопасностіВиход з ладу 1С: Бухгалтерія або зміна/знищення даних- важливі дані дублюємо на сервер восстановленіяНізкаяСотруднік служби безопасностіКража 1С: Кадри - пароль достатньої довжини і терміном життя 3 месяцаНізкаяСотруднік служби безопасностіВиход з ладу 1С: Кадри або зміна/знищення даних- важливі дані дублюємо на сервер восстановленіяНізкаяСотруднік служби безопасностіВиход з ладу сервера безпеки або зміна/знищення даних- важливі дані дублюємо на сервер восстановленіяНізкаяСотруднік служби безопасностіАтака на дані бізнес-планаІгноріроватьВиход з ладу сервера з бізнес-планом або зміна/знищення даннихІгноріроватьКража даних системи відеонаблюденіяІгноріроватьВиход з ладу системи відеоспостереження або зміна/знищення даннихІгноріроватьАтака на дані бази нормативно-методичної документацііІгноріроватьВиход з ладу сервера нормативно-методичної документації або зміна/знищення даних- важливі дані дублюємо на сервер восстановленіяНізкаяСотруднік служби безопасностіВиход з ладу Web-сервера або зміна/знищення даних- важливі дані дублюємо на сервер восстановленіяНізкаяСотруднік служби безпеки
. Обробка людських ризиків
Людські ризики на нашому підприємстві досить низькі. Всі співробітники займаються діяльністю, до якої схильні, мають відповідну освіту і досвід роботи і добре мотивовані. Також вони не є «дітьми» по трансактному аналізу Берна. Їх доступ до інформаційних ресурсів строго визначений матрицею доступу.
Якщо при аналізі загроз з'ясовується, що співробітник не походить під який-небудь параметр, то необхідно змінити його посаду, провести навчання, дати стимул, обмежити доступ до якого-небудь ресурсу або звільнити.
На чолі кожного бізнес-процесу стоїть відповідальний за нього людина.
