- •Идентификация значимых бизнес-процессов
- •Идентификация бизнес-операций
- •Идентификация ит-сервисов
- •Оценка значимости бизнес-операций
- •Перечень ит-ресурсов фнс россии, задействованных для обеспечения функционирования ит-ресурсов
- •Перечень стандартных угроз для ит-ресурсов р азличных типов.
- •Оценка вероятности и последствий угроз для ит
- •Расчет риска
- •Сводная оценка рисков ra и bia
- •И дентификация ит-целей в части вср
- •Определение rto и rpo ит-сервисов
- •Разработка вср ит-сервисов
- •Разработка плана тестирования вср
- •Анализ всех рисков с применением реагирования на основе диаграммы вероятность угрозы
Идентификация ит-сервисов
ID Бизнес-операции
Бизнес-операция
Данные
Оборудование
Персонал
БО1
Техническая поддержка
Карта-наряд на выполнение ТО
Сервер баз данных
Группа инженеров
БО2
Бухгалтерский учет
Финансовые документы
Сервер баз данных
Бухгалтерский отдел
БО3
Бухгалтерский учет
Финансовые документы
Сервер баз данных
Бухгалтерский отдел
БО4
Обеспечение безопасности
Информационная структура
Сервер баз данных
Группа инженеров
БО5
Бухгалтерский учет
Финансовые документы
Сервер баз данных
Бухгалтерский отдел
Оценка значимости бизнес-операций
ID Бизнес-операции |
Бизнес-операция |
Оценка целостности |
Оценка конфиденциальности |
Оценка доступности |
Оценка достоверности |
Общая оценка |
БО1 |
Техническая поддержка |
2 |
1 |
2 |
3 |
2 |
БО2 |
Бухгалтерский учет |
3 |
3 |
2 |
3 |
2,75 |
БО3 |
Бухгалтерский учет |
3 |
2 |
2 |
3 |
2,5 |
БО4 |
Обеспечение безопасности |
3 |
3 |
3 |
3 |
3 |
БО5 |
Бухгалтерский учет |
2 |
2 |
2 |
3 |
2,25 |
Перечень ит-ресурсов фнс россии, задействованных для обеспечения функционирования ит-ресурсов
Название |
Тип |
Описание |
Корпоративная почта |
Прикладная система |
Система коммуникации |
Яндекс диск |
Хранилище данных |
Облачный сервис хранения данных |
Windows 10 |
Операционная система |
Операционная система для рабочих станций |
Viber |
Прикладная система |
Система коммуникации |
Перечень стандартных угроз для ит-ресурсов р азличных типов.
Оценка вероятности и последствий угроз для ит
ID ресурса |
Ресурс |
Тип ресурса |
ID угрозы |
Угроза |
Вероятность |
Целостность |
Конфиденциальность |
Доступность |
Надежность |
Соответствие |
R-SY-01 |
CBOSS/KKM |
Прикладная система |
T-SY-001 |
Сбой программного обеспечения |
2 |
3 |
0 |
3 |
3 |
1 |
R-SY-01 |
CBOSS/KKM |
Прикладная система |
T-SY-002 |
Несанкционированные изменения кода |
1 |
3 |
3 |
2 |
2 |
2 |
R-SY-01 |
CBOSS/KKM |
Прикладная система |
T-SY-003 |
Плохо протестированные изменения кода |
3 |
2 |
3 |
1 |
2 |
3 |
R-SY-02 |
CBOSS/KKM |
Прикладная система |
T-SY-004 |
Не установленные своевременно обновления и заплатки |
3 |
3 |
3 |
0 |
1 |
2 |
R-SY-02 |
CBOSS/KKM |
Прикладная система |
T-SY-005 |
Заражение вирусом |
2 |
2 |
2 |
2 |
2 |
2 |
R-SY-02 |
CBOSS/KKM |
Прикладная система |
T-SY-006 |
Установка троянского коня |
1 |
2 |
3 |
2 |
1 |
1 |
R-SY-03 |
CBOSS/KKM |
Прикладная система |
T-SY-007 |
Обновления и заплатки не протестированы |
1 |
3 |
3 |
3 |
2 |
1 |
R-SY-03 |
CBOSS/KKM |
Прикладная система |
T-SY-008 |
Система функционирует не так, как необходимо бизнесу |
1 |
1 |
2 |
2 |
2 |
2 |
R-SY-04 |
CBOSS/KKM |
Прикладная система |
T-SY-009 |
Неожиданная остановка системы
|
1 |
1 |
1 |
3 |
1 |
1 |