Установление контекста (подготовительный этап)
Национальный исследовательский университет «МЭИ»
Инженерно-экономический институт
ЗАДАНИЕ
на деловую игру
Моделирование рисков
информационной безопасности
2016
Содержание
Введение. 3
1.Постановка задачи. 8
1.1.Описание ситуации. 8
1.2.Дополнительная информация. 11
1.3.Основные активы банка. 12
2.Методика выполнения задания. 14
2.1.Установление контекста (подготовительный этап) 15
Критерии_оценки влияния риска на бизнес-процессы (Kv) 16
2.2.Инвентаризация и классификация информационных активов (этап 1) 16
2.3.Моделирование угроз и оценка рисков информационной безопасности (этап 2) 18
2.5.Моделирование плана обработки рисков (этап 4) 22
2.6.Защита результатов деловой игры.. 24
2.7.Варианты заданий. 24
Литература. 25
Введение
Защита информационных активов[1] организации сегодня является одним из важных составляющих успешности бизнеса. Главная цель защиты информации направлена на обеспечение эффективности и непрерывности бизнеса. Это достигается введением обоснованных механизмов защиты информации на основе сбалансированных требований по конфиденциальности, целостности, доступности и других показателей.
Сегодня деятельность специалистов в сфере информационной безопасности определяется Федеральными законами, государственными и отраслевыми стандартами, определяющими методологию построения системы защиты информации хозяйствующего субъекта (ХС). Сложность же практической реализации требований этих руководящих документов заключается в том, что не существует единого подхода к организации защиты информации в различных хозяйствующих субъектах даже одной отрасли.Это определяется различными методологическими концепциями построения системы управления информационной безопасностью ХС.
|
|
|
Первая концепция основана на создании систем с полной защищённостью информационных активов на основе анализа модели угроз, проведения исследований технических каналов утечки информации, проектирования системы защиты информации с использованием технических и криптографических средств защиты и завершается сертификацией системы информационной безопасности объектаинформатизации. При организации защиты учитываются все возможные каналы утечки информации, а также используются сертифицированные программные средства, оборудование, вычислительные средства, средства связи и телекоммуникаций, средства криптографической защиты (допускаются только отечественного производства). Доверие к этим системам обеспечивается за счет аттестации рабочих мест после проведения специальных исследований. Дальнейшая эксплуатация предполагает мониторинг состояния системы безопасности и поддержания её в актуальном состоянии. Эта концепция хорошо вписывается в систему защиты конфиденциальной информации. Для защиты не конфиденциальной информации используются другие подходы, основанные на создании системы обеспечения ИБ, включающей правовое, организационное, инженерно-техническое, материальное, криптографическое, кадровое, финансовое и др. Такой подход является субъективным и может быть в условиях, когда информационная система уже существует и не предполагается каких-либо ее радикальных изменений.
|
|
|
Более перспективным подходом к построению системы информационной безопасности можно считать процессный подход (рис.1), изложенный в стандарте по менеджменту информационной безопасности [1] и основанный на цикле Деминга-Шухарта (PDCA):
1. Plan - планирование
2. Do - воплощение, реализация
3. ( Check ) - измерение, проверка
4. Act - улучшение.На стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска информационной безопасности для достижения результатов в соответствии с политиками и целями организации.
|
|
|
Рис.1.Концепция СМИБ на основе ГОСТ Р ИСО/МЭК 27001-2006 г.
На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности (организации, средств управления (защитных мер), регламентов, процессов и процедур системы защиты информации.
На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов управления информационной безопасностью организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.
На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.
Особенность того подхода к управлению ИБ заключается в том, что построение СМИБ основано на анализе технологий ведения бизнес-процессов, оценке финансовых возможностей ХС, оценке уровня понимания администрацией ХС необходимости защиты информационных ресурсов организации, рекомендаций стандартов по лучшим мировым практикам организации защиты информации и учете ряда других факторов. Для каждой организации это, безусловно, разные решения. Очень важно, что в организации защиты информации принимают участие все сотрудники ХС и, конечно, его администрация. Этот стандарт даёт большую возможность в определении уровня защищенности ХС от различных факторов. Основным механизмом, определяющим важность угроз влияющих на бизнес-процессы является оценка рисков информационной безопасности, которая выполняется на этапе планирования СМИБ.
|
|
|
Сегодня существуют различные подходы к оценке рисков информационной безопасности, но все они обладают дают субъективные оценки и не учитывают множество других факторов, важных в принятии решений. Это требует от специалистов по информационной безопасности дополнительной работы по определению критериев принятия рисков, влияния и их граничных значений. Так эти процессы слабо формализованы, то каждая организация разрабатывает свои подходы к оценке рисков информационной безопасности, а весь цикл планирования СМИБ может быть представлен на этой диаграмме (рис.2). При оценке рисков используются рекомендации и приложение (Е) стандарта ГОСТ Р ИСО/МЭК 27005-2012 г. [2].
При проведении оценки рисков и разработки план обработки рисков определяются необходимые контрмеры. Для этого применяются практические правилауправления информационной безопасностью, которые приведены в стандарте ГОСТ Р ИСО/МЭК 27002-2013г. [3]. Эти правила включают в себя более 800 рекомендаций по следующим направлениям обеспечения информационной безопасности:
1. Разработка политики информационной безопасности.
2. Решение организационных вопросов безопасности.
3. Классификация и управление активами.
4. Вопросы безопасности, связанные с персоналом.
5. Физическая защита и защита от воздействий окружающей среды.
6. Управление передачей данных и операционной деятельностью.
7. Контроль доступа.
8. Разработка и обслуживание информационных систем.
9. Управление непрерывностью бизнеса.
10. Оценка соответствия.
Рис.2.Процессыменеджмента рисков информационной безопасности
Стандарт имеет большое значение при организации защиты информации в бизнесе и, по существу, может использоваться при защите любой информации. Особенность концепции защиты в этом стандарте заключается в определении политики безопасности, которая создается совместно с руководством организации и в определении ценности информационных активов, в отношении которых и планируется защита.
К сожалению, более глубокие методологические подходы к построению систем информационной безопасности, основанные на принципах адаптивного управления, эмерджентности и гомеостаза сегодня в теории информационной безопасности не рассматриваются. Есть и другие интересные подходы к организации системы защиты информации, которые высказываются на уровне идей без соответствующей научной и методической их проработки. Наиболее интересной идеей к построению системы информационной безопасности является объектно-ориентированный подход, широко используемый при создании современных информационных систем. Сущность этого подхода основана на создании принципиально любых систем, способных к эволюционному развитию. Этот подход основан на простой идее: любая система должна строиться таким образом, чтобы дальнейшее развитие не отвергало предыдущие формы ее реализации. Автором этого взгляда на новую методологию создания информационных системе является Гради Буч. Элементы этого подхода реализованы в одном из самых перспективных сегодня стандартов [4], содержащий совершенно новую концепцию защиты информационных технологий, но, к сожалению, слабо используемый сегодня в системах защиты информации.
Предлагаемая деловая ситуация имеет цель обучить методам и технологиям организации защиты информации на ХС. Особенность заключается в том, что в информационной системе организации присутствуют различные формы документов (электронные и бумажные) с различной степенью их конфиденциальности. Это требует внимательного и тщательного подхода к изучению исходной информации и руководящих документов по организации защиты информации. Методология организации защиты информации основывалась на концепции учета приоритетов ценностей информационных активов организации, наиболее применимой для бизнеса и изложенной в ГОСТ ИСО/МЭК 27002. Организационные вопросы создания режимов банковской и коммерческой тайны не рассматривались. Политика безопасности разрабатывалась в соответствие с рекомендациями стандарта [3]. Обоснование предложений по защите информации проводилось с использованием требований стандарта [3] по различным моделям рисков [2] и многофакторным моделям.
Деловая ситуация проходит в несколько этапов. По каждому этапу студентами представляется соответствующая отчетность на сайте (адрес сайта указывается преподавателем) в доступном для нихразделе. Необходимые справочные материалы и нормативная информация: стандарты, положения и другие материалы представлены также на этом же портале.
Постановка задачи
Описание ситуации
Акционерный коммерческий банк АКБ «Х-TrimBank» расположен в одном из городов Московской области и обеспечивает обслуживание юридических и физических лиц города и ближайших населенных пунктов следующими услугамив соответствие со ст.5 ФЗ №395 от 1990 года:
· привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);
· открытие и ведение банковских счетов физических и юридических лиц;
· осуществление переводов денежных средств по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;
· инкассация денежных средств, векселей, платежных и расчетных документов и кассовое обслуживание физических и юридических лиц;
· купля-продажа иностранной валюты в наличной и безналичной формах;
· осуществление переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств.
Анализ экономической эффективности работы удаленного офиса, проведенный управляющим банка показал, что в текущем году был значительный рост непроизводственных потерь и, в том числе, из-за инцидентов включающих:
1. Выход из строя оборудования серверной комнаты из-за затопления, что привело к необходимости закупки нового оборудования.
2. Заражение локальной вычислительной сети вредоносными программами, что вызвало значительную потерю времени на восстановление системы.
3. Превышение входящего трафика по сравнению с прошлым аналогичным периодом, что привело к дополнительным затратам.
4. Неумение работы сотрудников с автоматизированными банковскими системами и системами защиты информации, что приводило к частым отказам общего и специального программного обеспечения при обслуживании клиентов банка и, как следствие, потере клиентов и снижение репутации АКБ.
- Существующая система информационной безопасности не обеспечивает требования по непрерывности бизнеса. За прошедший год было зафиксировано 32 инцидента остановки банковского технологического процесса на срок от 1 до 24 часов.
По оценкам Правления банка общие потери по этим причинам составили до хруб за прошедший год(потери задаются вариантом задания). В результате проведенного внутреннего аудита системы комплексной безопасности, выполненной специалистом центрального офиса банка, было выявлено следующее (табл.1).
Результаты аудита
Таблица 1
| №№ | Категория угроз | Наименование уязвимостей системы ИБ, выявленных при аудите |
| 1 | ФБ | Средства управления физическим доступом в служебные помещения не соответствуют требованиям защиты информации и допускают возможность проникновения посторонних лиц. |
| 2 | ФБ | Входы в помещения закрываются с использованием механических замков, что недостаточно для обеспечения безопасности активов. |
| 3 | ФБ | Офис не оборудован комнатой для ведения переговоров с клиентами, а кабинет управляющего не обеспечивает защиту конфиденциальной информации при проведении совещаний и переговоров. |
| 4 | ФБ | Камеры видеонаблюдения записывают информацию в архив в автоматическом режиме со сроком хранения 1 неделя. |
| 5 | ФБ | Датчики на проникновение в помещение в ночное время отсутствуют. |
| 6 | ФБ | Отсутствует сигнализация на сейфе управляющего и сейфе начальника службы ИБ для хранения документации, электронных ключей и криптографических средств. |
| 7 | ФБ | Размещение и оборудование рабочих мест допускает возможность допуска к АРМ посторонних лиц. |
| 8 | ФБ | Отсутствуют датчики пожарной сигнализации. |
| 9 | ФБ | В помещениях отсутствуют кондиционеры, что приводит к повышению температуры в помещении в летнее время до +35 град С. |
| 10 | ФБ | Во всех помещения используются установки автоматического водяного пожаротушения, это может привести к выводу из строя оборудования. |
| 11 | ФБ | Отсутствует средство резервного копирования и хранения БД АСУ |
| 12 | ФБ | Телекоммуникации и связь не имеют резервных каналов. |
| 13 | ФБ | Электрообеспечение на случай аварий не предусмотрено. Блоки бесперебойного питания не контролируются на обеспечение аварийного завершения бизнес-процессов. |
| 14 | ФБ | Входы в помещения не оборудованы электронными замками и не имеют СКУД. |
| 15 | ЭИС | Общее программное обеспечение (операционные системы, офисные приложения, графические программы не являются лицензионными). Система восстановления сбоев операционных систем основана на повторной их инсталляции. |
| 16 | ЭИС | На компьютерах установлено программное обеспечение неизвестного авторства и не сертифицированное. |
| 17 | ЭИС | Антивирусные программы используются не на всех рабочих местах. Обновления баз данных сигнатур делается самостоятельно на каждом рабочем месте. |
| 18 | УД | Портальное решение эксплуатируется без механизма безопасности «неизменяемость контента», что может привести к потере репутации банка. |
| 19 | ОБ | Политика информационной безопасности существует, но является общей и не отражает специфику этого АКБ . |
| 20 | ОБ | Политика системы менеджмента информационной безопасности (СМИБ) отсутствует. |
| 21 | ОБ | Система управления информационной безопасностью находится на невысоком уровне зрелости администрации АКБ. |
| 22 | ОБ | Требования по обеспечению непрерывности бизнес-процессов не выполняются, а раздел политики информационной безопасности по непрерывности бизнеса отсутствует. |
| 23 | УД | Все сотрудники имеют неограниченный доступ в Интернет и могут использовать практически все его ресурсы. |
| 24 | ОБ | Служебная информация может свободно копироваться на внешние носители: DVD, CD, USB. |
| 25 | ОБ | Не организован учет носителей информации, а сами носители не имеют маркировки (коммерческая тайна, банковская тайна). Для передачи информации используются личные носители (FLASH) информации. |
| 26 | ОБ | Основные информационные активы и баз данных регулярно не обновляются. Периодичность их обновления доходила до 3 месяцев. |
| 27 | ОБ | Документация (инструкции, регламенты) по обработке информации и разграничении доступа к ней отсутствуют. В наличие имеется только «Положение о порядке доступа пользователей к локальной банковской сети и программным комплексам АКБ «Хtrim-Bank» |
| 28 | ОБ | Бумажные носители информации с ошибками оформления договоров, копии документов не уничтожались, а выбрасывались в мусорные корзины. |
| 29 | ОБ | Инциденты, связанные с информационной безопасностью документально не фиксируются и оперативно не доводятся до администрации АКБ. |
| 30 | ОБ | Внутренний аудит информационной безопасности не проводится. |
| 31 | ОБ | Внешний аудит системы информационной безопасности не проводился. |
| 32 | ОБ | Архивирование баз данных, размещенных на сервере не производится регулярно. |
| 33 | ОБ | Бумажные копии договоров хранятся в открытом виде в шкафах помещений для работы с клиентами. |
| 34 | ОБ | Отсутствует резервное оборудование, что приводит к остановке бизнес-процессов. |
| 35 | УД | Парольная политика доступа к информационным активам не соответствует требованиям защиты банковской тайны. |
| 36 | ОБ | Сопровождение информационных систем и процессов обеспечения информационной безопасности делегировано одному сотруднику. |
| 37 | ОБ | Политика «двойного управления» не используется при проведении ответственных операций. |
| 38 | ОБ | В помещениях, где проводится обработка конфиденциальной информации (банковской тайны) не обеспечена защита от утечки информации. |
| 39 | ОБ | Режим банковской и коммерческой тайн в АКБ не введен. |
| 40 | ОБ | Обслуживание оборудования на территории офиса проводится без соблюдения требований по обеспечению информационной безопасности при работе с другими организациями. |
| 41 | ОБ | Помещение управляющего не сертифицировано на обеспечение безопасности коммерческой и банковской тайн. |
| 42 | ОБ | Нерегулярное копирование БД. |
| 43 | ОБ | Отсутствует план обеспечения непрерывности бизнеса. |
| 44 | ОБ | Документация по СМИБ не утверждена и имеется в неполном объеме. |
| 45 | ОБ | Журналы событий должностными лицами регулярно не просматриваются. |
| 46 | ОБ | Группа расследования инцидентов информационной безопасности не создана. Часть инцидентов не доводится с рабочих мест. |
| 47 | ОБ | Резервы расходных материалы на принтеры не созданы. |
| 48 | КБ | Обучение сотрудников методам и технологиям защиты информации не производится, а инструктажей не делается. |
| 49 | КБ | Набор персонала проводится без учета требований работы с конфиденциальной информацией. |
| 50 | КБ | Договора с сотрудниками не включают требования к ним по хранению коммерческой и банковской тайны. |
Обозначения: ФБ-физическая защита;
ОБ-организация защиты;
КБ-кадровые вопросы безопасности;
УД-управление доступом;
П-политика безопасности;
ЭИС-эксплуатация информационных систем.
Схема размезения активов и рабочих мест приведена на рис.3.
Рис.3.Схема размещения рабочих мест и оборудования АКБ «Х-TrimBank»
Дополнительная информация
1. Система технических средств охраны включает 6 видеокамер (рис.1), видеорегистратор и охранную сигнализацию, установленную на входную дверь банка и дверь кассового отделения.
2. На всех рабочих местах установлены источники бесперебойного питания, обеспечивающие работу оборудования при отключенном питании до 10 мин.
3. Работа сотрудников банка осуществляется в 2 смены с 9.00 до 22.00 для специалистов по работе с физическими и юридическими лицами.
4. Дистанционное банковское обслуживание (ДБО) обеспечивается круглосуточно. Контроль процессов обслуживания, подключение клиентов к системе ДБО, генерация ключей и настройку доступа обеспечивает инженер АСУ.
5. Решение вопросов обеспечения доступа в вечернее время и в выходные дни осуществляется инженером АСУ через удаленный рабочий стол.
6. Работу портала обеспечивает персонал компании-провайдера Интернет. Изменения информации на портале и его контроль обеспечивает заместитель управляющего банком.
7. Офис АКБ размещен в крупном торговом центре в цокольном этаже здания и имеет внутреннюю охрану и внешнее наблюдение.
8. Архивы бумажных документов хранятся в металлических шкафах в соответствующих отделах по работе с физическими и юридическими лицами.
9. Организационно-штатная структура банка включает:
· управляющего банка;
· его заместителя;
· операторов-кассиров (2 сотрудника, один из них старший оператор-кассир);
· ведущего специалиста по работе с физическими лицами (начальник отдела);
· специалистов отдела по работе с физическими лицами (2 сотрудника);
· ведущего специалиста по работе с юридическими лицами (начальник отдел;
· специалиста по работе с юридическими лицами;
· специалиста по информационной безопасности;
· инженера АСУ (системный администратор);
· бухгалтера.
Основные активы банка
К основным активам банка относятся (таблица 2).
Таблица 2.
Основные активы АКБ
| №№ | Наименование активов | Примечание |
| 1 | Банковский платежный технологический процесс, включающий все виды платежей в бумажной и электронной формах. Выполняется в расчетно-кассовом отделении (относится к банковской тайне). | |
| 2 | Банковский технологический процесс по обслуживанию физических лиц (депозиты, кредиты). | |
| 3 | Банковский технологический процесс по обслуживанию юридических лиц (счета, кредиты). | |
| 4 | Банковский процесс дистанционного обслуживания клиентов (ДБО). | |
| 5 | Банковский технологический процесс «мобильный банкинг». | |
| 6 | Банковский технологический процесс межбанковских переводов (выполняется в расчетно-кассовом отделении). | |
| 7 | Банковский технологический процесс генерации отчетов для ЦБ РФ (выполняется в отделении по работе с юридическими лицами). | |
| 8 | Банковский процесс обменных валютных операций (выполняется в расчетно-кассовом отделении). | |
| 9 | Банковское делопроизводство (внешнее и внутреннее) включает обычную почту, внутреннюю и внешнюю электронную почту для сотрудников в соответствии с их должностными полномочиями. Ответственный – заместитель управляющего банка. | |
| 10 | Системная документация по АСУ, программному обеспечению, операционным системам. | |
| 11 | Руководства и инструкции должностных лиц по работе с информационными системами. | |
| 12 | Инструкции по обеспечению информационной безопасности сотрудниками банка. | |
| 13 | Учебные материалы по функциональным процедурам, выполняемым сотрудниками АКБ (Ответственный – заместитель управляющего банком). | |
| 14 | Планы по обеспечению непрерывности функционирования информационного обеспечения (Ответственный – заместитель управляющего банком). | |
| 15 | Документированная политика информационной безопасности АКБ (Начальник службы ИБ). | |
| 16 | Документация по процедурам действий должностных лиц при сбоях информационных систем, нарушении режимов работы и архивирования информации. | |
| 17 | Активы программного обеспечения (инсталляции и установленное ПО): операционные системы прикладное программное обеспечение, АСУ банковскими процессами, системное программное обеспечение, инструментальные средства разработки и утилиты. | |
| 18 | Учебные базы данных АСУ АКБ. Используются для предварительной проверки обновлений и нового программного обеспечения. | |
| 19 | Периодически обновляемые образы системных разделов дисков АРМ и серверов. | |
| 20 | Антивирусное ПО (инсталляции и установленное). | |
| 21 | Средства криптографической защиты информации (СКЗИ): электронные системы аутентификации пользователей; системы шифрования дисковых данных; системы шифрования данных, передаваемых по сетям; средства управления ключевой информацией. | |
| 22 | Компьютерное оборудование (процессоры, мониторы, переносные компьютеры, модемы), оборудование связи (маршрутизаторы, автоматические телефонные станции с выходом в сеть общего пользования, факсы, автоответчики), магнитные носители (ленты и диски). | |
| 23 | Другое техническое оборудование (источники бесперебойного питания, кондиционеры). | |
| 24 | Система видеонаблюдения (видеокамеры и регистраторы). | |
| 25 | Системное программное обеспечение, включающее: операционные системы, сетевые приложения и сервисы, необходимые для обеспечения надежного функционирования информационно - вычислительной техники банка. Ответственный – инженер АСУ. | |
| 26 | Банковская локально-вычислительная сеть и оборудование (маршрутизаторы, сервер, рабочие станции, сетевые устройства печати, сканер). Ответственные за оборудование - начальники соответствующих отделов банка. Ответственный за поддержание в исправном состоянии и администрирование – инженер АСУ. | |
| 27 | Представительство банка в глобальной информационной сети ИНТЕРНЕТ (портал Х-TrimBank.ru). Ответственный – провайдер Интернет. | |
| 28 | Автоматизированная банковская система (АБС), обеспечивающая реализацию основных функций банковских технологических процессов по работе с клиентами при выполнении различных банковских услуг (кредиты, депозиты, ценные бумаги и др. операции). Клиентская база данных относится к банковской тайне. Ответственность за информацию – персональная для сотрудников, имеющих доступ к АБС. Ответственность за работу АСУ – инженер АСУ. | |
| 29 | Персональные данные сотрудников и клиентов банка (электронная и бумажная форма) хранятся в кабинете управляющего. В электронном виде эта информация доступна только для управляющего банка и его заместителю. | |
| 30 | Прикладное программное обеспечение, необходимое для обеспечения жизнедеятельности основных и вспомогательных банковских процессов (реклама, видеоролики и т.д.). Ответственный за программное обеспечение – инженер АСУ. Ответственные за материалы – заместитель управляющего и исполнители. | |
| 31 | Отчетные материалы бухгалтерской отчетности и другие сведения о деятельности банка, доступные для всех. Ответственный – бухгалтер. | |
| 32 | Информационные базы и информационные архивы, являющиеся результатомфинансовой, экономической и управленческой деятельности банка (в бумажном и электронном формах). Имеют статус «банковская тайна», размещаются в кабинете управляющего банком. | |
| 33 | Системы международных платежей и переводов. Технология переводов с использо-ванием криптоключей осуществляется операторами-кассирами. Генерация крипто ключей проводится сотрудником службы безопасности АКБ. | |
| 34 | Сертификаты, лицензии и другие документы, сгенерированные банком самостоятельно и полученные им для использования от других организаций ( например ЦБ и пр.). Размещаются в кабинете управляющего банка в сейфе. | |
| 35 | Отчетные материалы бухгалтерской отчетности и другие сведения о деятельности банка, доступные для всех. Ответственный – бухгалтер. | |
| 36 | Информационные каналы, арендуемые и используемые для перемещения информационных потоков: системы связи служебной (внутренней), городской и мобильной, сети и др. Ответственный за эксплуатацию –инженер АСУ. | |
| 37 | Системы международных платежей и переводов. Технология переводов с использованием криптоключей осуществляется операторами-кассирами. Генерация криптоключей проводится сотрудником службы безопасности АКБ. | |
| 38 | Персональные данные сотрудников и клиентов банка (электронная и бумажная форма) хранятся в кабинете управляющего. В электронном виде эта информация доступна только для управляющего банка и его заместителю. | |
| 39 | В кабинете управляющего банка проводятся совещания, которые могут содержать конфиденциальную информацию – банковскую и коммерческую тайну. | |
| 40 | Банкомат в общем зале (Б). |
Методика выполнения задания
Деловая ситуациявыполняется в форме отдельных функционально завершенных работ, выполняемых в определенной последовательности (рис.4). Содержание этих работ определяется концепцией создаваемой системой защиты информации для АКБ. В нашем случае для АКБ «X-trimBank» была использована модель защиты на основе требований стандарта ГОСТ ИСО/МЭК 27002-2012 г. По каждому этапу результаты работы представляются в форме таблиц, графиков и диаграмм. В результате их анализа делаются выводы, позволяющие обратить внимание на основные и наиболее важные для последующих работ значения анализируемых показателей.
Рис.4. Последовательность оценки рисков
Установление контекста (подготовительный этап)
При выполнении этого этапа определить сначала цель (цели) управления рисками, а затем исходя из этого, определить основные критерии, области и границы применения и методики обработки рисков.
2.1.1.Определение основных целей управления рисками
Возможные цели по возрастанию сложности решения задач:
1. Провести высокоуровневую оценку рисков информационной безопасности и предложить адекватные рискам меры и средства управления и контроля системой информационной безопасности.
2.Повысить эффективность системы управления информационной безопасностью организации за счет обоснования адекватных рискам мер контроля и управления.
3.Повысить эффективность бизнеса за счёт совершенствования системы управления СМИБ и снижения ущерба от реализации возможных угроз информационной безопасности.
2.1.2.Определение основных критериев
Критерии_оценки_риска
Возможны следующие варианты мер риска (метрик):
1. В виде обобщенного значения показателя величины риска Kr=F(Kt, Ky, Ka),
где Kt –шкала классификации угроз [0,1,2];
Ky – шкала классификации уязвимостей [0,1,2];
Ka– шкала классификации активовпо ценности [0,1,2,3,4].
Пример такого показателя приведен в приложении Е (табл.Е.1а) [1]. Конечные значения величины риска могут быть заданы в форме лингвистической переменной «малый» [0-2], средний [3-4], высокий [5-6], критичный [7-8]. Значения в квадратных скобках определяют границы интервалов метрики рисков заданных табл. E.1a [1].
2. В виде экспертных оценок влияния на бизнес-процессы, заданных в форме лингвистической переменной «малое», «среднее», «высокое», «критичное». Эта форма критерия оценки риска используется при высокоуровневой оценке рисков (приложение Е [1]).
3. В виде меры риска, основанной на соотношении величины возможного ущерба и затрат на принятие контрмер по снижению риска в одной из следующих форм:
R=Uat – Zat илиR=Uat / Zat,
где Uat– оценка величины возможного ущерба;
Zat – оценка величины затрат на принятие контрмер по угрозе t.
Эта форма критерия используется при многофакторной оценке рисков и отличается от предыдущих оценок тем, что метрика рисков универсальна и имеет экономический смысл. Это позволяет одновременно учесть критерий влияния.
Для каждого из рассмотренных критериев используется различная методика оценки рисков.
Дата добавления: 2018-02-15; просмотров: 1593; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!