Ідентифікація інформаційних ресурсів
Служба володіє наступними інформаційними ресурсами:
Персональні дані працівників
Персональні дані клієнтів
Юридична документація
Відомості про програмне забезпечення
Відомості про апаратне забезпечення
Відомості про управління служба
Відомості про фінансову діяльність компанії
Матриця доступу
На матриці доступу визначено рівні доступу персоналу до інформаційних ресурсів компанії.
Об'єкт
Суб'єкт
|
Персональні дані працівників
|
Персональні дані клієнтів
|
Юридична документація
|
Відомості про програмне забезпечення
|
Відомості про апаратне забезпечення
|
Відомості про управління компанією
|
Відомості про фінансову діяльність служба
|
Директор
|
r, w
|
r, w, d
|
r
|
r, d
|
r, d
|
r, w, d, c
|
r
|
Заступник директора
|
r
|
r
|
r
|
r
|
r
|
r, w
|
|
Юрист
|
|
|
r, c, w, d
|
|
|
|
r
|
Технічний спеціаліст
|
|
|
|
r
|
r, w, c
|
|
|
Бухгалтер
|
r
|
|
|
|
|
|
r, w, c
|
Начальник відділу організації надання послуг роботодавцям
|
|
r, w, w
|
r
|
|
|
|
|
Програміст
|
|
|
|
r, w, c
|
r
|
|
r
|
HR
|
r
|
r
|
|
|
|
|
|
Таблиця 1. Матриця доступу до інформації
Ідентифікація ризиків
Визначення критеріїв
На етапі встановлення критеріїв оцінки ризиків слід визначити набір критеріїв оцінки ризику (зон впливу) для подальшої оцінки впливу ризику на службу.
Критерій
|
Ступінь впливу
|
Низький (1)
|
Помірний (2)
|
Високий (3)
|
Репутація
|
Репутація зазнає мінімального впливу. Для відновлення потрібні невеликі зусилля чи витрати.
|
Репутація пошкоджена, а для відновлення потрібні певні зусилля та витрати.
|
Репутація безповоротно знищена або пошкоджена.
|
Фінанси
|
Мінімальні фінансові втрати
|
Фінансові втрати наближені або перевищують допустимий ліміт
|
Служба виходить за фінансові межі встановлені державою
|
Моральна шкода
|
Моральної шкоди клієнту не нанесено
|
Моральна шкода була нанесена, але не в значній мірі
|
Моральна шкода була нанесена в значній мірі
|
Таблиця 1.1 Критерії оцінки ризику
Визначення пріоритету зон впливу від найважливіших до найменш важливих. Найважливіша зона повинна отримати найвищий бал. Це ранжування використовується пізніше для оцінки ризику.
Пріоритет
|
Зона впливу
|
4
|
Фінанси
|
3
|
Репутація
|
2
|
Повне задоволення клієнтів
|
1
|
Здоров’я працівників
|
Таблиця 1.2 Ранжування зон впливу
Розробка профілю інформаційного активу
Для кожного інформаційного активу створюється профіль, який є основою для ідентифікації загроз та ризиків на наступних кроках.
Діяльністю на цьому етапі є визначення інформаційних активів, щодо яких може проводитися оцінка та запис у перелік активів. Оцінка є найбільш корисною, коли вона зосереджена на інформаційних активах, які є найбільш важливими для організації.
Для цього слід розглянути наступні питання:
Які інформаційні активи є найціннішими для вашої служби?
Які інформаційні активи, у разі їх втрати, можуть істотно порушити здатність слжби досягати своїх цілей та сприяти досягненню місій служби?
Хто несе відповідальність за життя інформаційного активу?
Активи
|
Керівник
|
Інформація про безпеку служби
|
Охоронець
|
Реєстр договорів
|
Начальник юридичного відділу
|
Корпоративна пошта
|
Начальник технічного відділу
|
Юридичні документи
|
Начальник юридичного відділу
|
Персональні комп’ютери
|
Начальник технічного відділу
|
База даних працівників та клієнтів
|
Начальник відділу кадрів
|
Таблиця 1.3 Перелік активів
Визначення контейнера інформаційних активів
Є три дуже важливі моменти щодо концепції контейнерів інформаційних активів:
Спосіб захисту інформаційного активу здійснюється за допомогою засобів контролю на рівні контейнера
Ступінь захисту інформаційного активу залежить від того, наскільки добре захищені засоби управління, що реалізуються на рівні контейнера
Інформаційний актив успадковує будь які вразливості контейнера.
Питання для визначення контейнера (технічного):
Які інформаційні системи використовують або обробляють цей інформаційний актив?
Які автоматизовані процеси залежать від цього інформаційного активу?
На якому обладнанні можна знайти цей інформаційний актив?
Чи існує клієнт або партнер інформаційних систем , який керує або обробляє інформаційним активом зовні?
Питання для визначення контейнера (фізичного):
Чи існують місця, окрім технічних засобів, де цей актив існує?
Чи є місця зовнішні по відношенню до організації, де цей інформаційний актив існує?
Питання для визначення контейнера (люди):
Які люди можуть володіти цим інформаційним активом?
Визначення вразливостей
Для виконання цієї діяльності слід використовувати контейнери інформаційних активів. Для кожного з контейнерів слід визначити сфери занепокоєння та/або вразливості, які будуть використовуватися для створення анкети сценаріїв загроз.
Контейнер
|
Актив
|
База даних
|
Персональна інформація клієнтів
|
Персональна інформація працівників
|
Юридична документація
|
Договори
|
Фінансовий звіт
|
Ком’ютер охоронця
|
Відео з камер спостереження
|
Таблиця 1.6 Контейнери інформаційних активів
Визначення сценаріїв загроз
Сценарій загроз створюється для спрощеного способу визначення, чи існує ризик виникнення загрози для інформаційного активу та визначення вразливостей, якщо вони передбачаються.
Категорії загроз
|
Сценарії загроз
|
Вразливості
|
Людське втручання (технічні контейнери)
|
Фішингова атака
|
Відсутність антифішингових програм
|
Несанкціоноване використання носіїв даних
|
Несанкціоноване копіювання, знищення, підробка або блокування інформації, спричинення витоку інформації
|
Людське втручання (фізичні контейнери)
|
Відключення камер відеоспостереження
|
Неналежно встановлена система безпеки
|
Несанкціонований доступ до паперової документації
|
Відсутність контролю доступу до приміщення
|
Технічні проблеми (фізичні контейнери)
|
Можливість зараження комп’ютер вірусами
|
Використання неліцензійного програмного забезпечення
|
Можливість втратити цінні файли чи документи
|
Неналежно встановлена система безпеки
|
Інші проблеми (всі контейнери) (землетрус, енергопостачання, звільнення персоналу,…)
|
Пожежа
|
Противопожежна система не відповідає нормам
|
Втрати документів, які розробляються
|
Проблеми з безперебійне живлення
|
Таблиця 1.7 Дерево сценаріїв загроз
Визначення ризиків
Визначивши вплив на організацію, виконується рівняння рівняння ризику. Це можна проілюструвати так:
Сценарій загрози (загроза) + вплив (наслідок) = ризик
Сценарій загрози
|
Вплив
|
1. Фішингова атака
|
Можлива втрата персональних даних клієнтів та працівниів
|
2. Несанкціоноване використання носіїв даних
|
Зараження ком’ютера вірусами, знищення файлів на пк
|
3. Відключення камер відеоспостереження
|
Викрадення обладнання, паперових документів
|
4. Несанкціонований доступ до паперової документації
|
Втрата важливої юридичної документації, фінансових звітів та персональної інформації
|
5. Можливість зараження комп’ютер вірусами
|
Знищення даних на комп’ютері, може зашкодити всій мережі
|
6. Можливість втратити цінні файли чи документи
|
Отримання доступу до персональної інформації персоналу та її знищення або викриття.
|
7. Пожежа
|
Знищення обладнання, документів, небезпека для здоров’я і життя
|
8. Втрати документів, які розробляються
|
Втрачений час провідного фахівця, втрачені важливі документи
|
Аналіз ризиків
Визначати імовірність виникнення сценарія загрози, та дати оцінку імовірності, відносно інформаційного активу, за шкалою (низька, середня, висока). Записати значення оцінки імовірності в полі (6) робочого листа ризику інформаційної безпеки.
Записати пріоритет кожного критерія в відповідні поля області (4) робочого листа ризику інформаційного активу.
Обчислення відносного показника ризику. Обчислити оцінку для кожної зони впливу, шляхом множення значення впливу активу на критерій (1, 2, 3) та значення важливості (пріоритет) критерія для активу:
пріоритет зони впливу * значення впливу = бал.
Записати значення в поле (5) робочого листа ризику інформаційного активу.
Ризик інформаційного активу
|
Ризик №1
|
(1) Інформаційний актив/
контейнер
|
Відомості з камер відеоспостереження
|
(2) Сценарій загрози
|
Викрадення обладнання, паперових документів
|
(2) Вразливість
|
Відсутність контролю доступу до приміщення
|
(3) Яким буде вплив на актив?
|
Втрата доступу до системи безпеки
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Середня
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
2
|
8
|
Повне задоволення клієнта
|
3
|
1
|
3
|
Фінанси
|
2
|
2
|
4
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
16
|
Ризик №2
|
(1) Інформаційний актив/
контейнер
|
Персональна інформація клієнтів
|
(2) Сценарій загрози
|
Отримання доступу до паперової документації або файлів
|
(2) Вразливість
|
Відсутність контролю доступу до приміщення
|
(3) Яким буде вплив на актив?
|
Отримання доступу до персональної інформації клієнтів та її знищення або викриття.
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Середня
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
2
|
8
|
Повне задоволення клієнта
|
3
|
2
|
6
|
Фінанси
|
2
|
2
|
4
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
19
|
Ризик №3
|
(1) Інформаційний актив/
контейнер
|
Персональна інформація працівників
|
(2) Сценарій загрози
|
Отримання доступу до паперової документації або файлів
|
(2) Вразливість
|
Відсутність контролю доступу до приміщення
|
(3) Яким буде вплив на актив?
|
Отримання доступу до персональної інформації працівників та її знищення або викриття.
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Середня
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
3
|
12
|
Повне задоволення клієнта
|
3
|
1
|
3
|
Фінанси
|
2
|
2
|
4
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
19
|
Ризик №4
|
(1) Інформаційний актив/
контейнер
|
Фінансовий звіт
|
(2) Сценарій загрози
|
Несанкціонований доступ до паперової документації
|
(2) Вразливість
|
Відсутність контролю доступу до приміщення
|
(3) Яким буде вплив на актив?
|
Втрата важливої юридичної документації, фінансових звітів та персональної інформації
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Середня
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
2
|
8
|
Повне задоволення клієнта
|
3
|
1
|
3
|
Фінанси
|
2
|
2
|
4
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
16
|
Ризик №5
|
(1) Інформаційний актив/
контейнер
|
Договори
|
(2) Сценарій загрози
|
Можливість втратити цінні файли чи документи
|
(2) Вразливість
|
Відсутність контролю доступу до приміщення
|
(3) Яким буде вплив на актив?
|
Втрата важливої юридичної інформації
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Середня
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
3
|
12
|
Повне задоволення клієнта
|
3
|
2
|
6
|
Фінанси
|
2
|
2
|
4
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
23
|
Ризик №6
|
(1) Інформаційний актив/
контейнер
|
Ком’ютер охоронця
|
(2) Сценарій загрози
|
Відключення камер відеоспостереження
|
(2) Вразливість
|
Викрадення обладнання, паперових документів
|
(3) Яким буде вплив на актив?
|
Втрата обладнання, паперових документів
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Висока
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
2
|
8
|
Повне задоволення клієнта
|
3
|
2
|
6
|
Фінанси
|
2
|
2
|
4
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
19
|
Ризик №7
|
(1) Інформаційний актив/
контейнер
|
Юридична документація
|
(2) Сценарій загрози
|
Несанкціоноване використання носіїв даних
|
(2) Вразливість
|
Зараження ком’ютера вірусами, знищення файлів на пк
|
(3) Яким буде вплив на актив?
|
Втрата важливої юридичної інформації
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Середня
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
2
|
8
|
Повне задоволення клієнта
|
3
|
2
|
6
|
Фінанси
|
2
|
1
|
2
|
Здоров’я
|
1
|
1
|
1
|
(5) Оцінка відносного ризику
|
16
|
Ризик №8
|
(1) Інформаційний актив/
контейнер
|
Інше
|
(2) Сценарій загрози
|
Пожежа
|
(2) Вразливість
|
Противопожежна система не відповідає нормам
|
(3) Яким буде вплив на актив?
|
Знищення обладнання, документів, небезпека для здоров’я і життя
|
(6) Яка імовірність того, що цей сценарій станеться?
|
Низька
|
(4) Важкість
Оцініть наслідки для організації, в залежності від критеріїв впливу
|
Критерій
|
Пріоритет зони впливу (критерія)
|
Значення впливу загрози на критерій
|
Бал
|
Репутація
|
4
|
3
|
12
|
Повне задоволення клієнта
|
3
|
2
|
6
|
Фінанси
|
2
|
3
|
6
|
Здоров’я
|
1
|
3
|
3
|
(5) Оцінка відносного ризику
|
27
|
Сортування ризиків
На цьому етапі слід відсортувати кожен ризик за оцінкою відносного ризику. Упорядкована класифікація ризиків допомагає прийняти рішення, щодо статусу пом’якшення ризику.
Сортування ризиків від найвищого до найнижчого.
Сортування ризиків від найвищого до найнижчого.
Оцінка ступені впливу ризику
|
Оцінка відносного ризику
|
Імовірність виникнення
|
Ідентифікаційний номер ризику
|
1 третина
|
8
|
27
|
низька
|
8
|
7
|
23
|
середня
|
5
|
2
третина
|
6
|
19
|
середня
|
2
|
5
|
19
|
середня
|
3
|
4
|
19
|
висока
|
6
|
3
третина
|
3
|
16
|
середня
|
1
|
2
|
16
|
середня
|
4
|
1
|
16
|
середня
|
2
| |
Скачать 150.16 Kb.