- Автоматизация
- Антропология
- Археология
- Архитектура
- Биология
- Ботаника
- Бухгалтерия
- Военная наука
- Генетика
- География
- Геология
- Демография
- Деревообработка
- Журналистика
- Зоология
- Изобретательство
- Информатика
- Искусство
- История
- Кинематография
- Компьютеризация
- Косметика
- Кулинария
- Культура
- Лексикология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Математика
- Материаловедение
- Медицина
- Менеджмент
- Металлургия
- Метрология
- Механика
- Музыка
- Науковедение
- Образование
- Охрана Труда
- Педагогика
- Полиграфия
- Политология
- Право
- Предпринимательство
- Приборостроение
- Программирование
- Производство
- Промышленность
- Психология
- Радиосвязь
- Религия
- Риторика
- Социология
- Спорт
- Стандартизация
- Статистика
- Строительство
- Технологии
- Торговля
- Транспорт
- Фармакология
- Физика
- Физиология
- Философия
- Финансы
- Химия
- Хозяйство
- Черчение
- Экология
- Экономика
- Электроника
- Электротехника
- Энергетика
САНКТ-ПЕТЕРБУРГСКОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ 2 страница
Анализ рисков информационной безопасности производится в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
2. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ
2.1. Описание исходных данных. Установление контекста
Название организации: ПАО «Виа Информация»
Вид деятельности: организация «Виа Информация» занимается разработкой и продажей программного обеспечения по защите баз данных.
Перечень услуг: продажа программных обеспечений, разработка программного обеспечения
Ценности организации: ПО работает безотказно, высокий уровень коммуникабельности между персоналом и клиентами.
Цель менеджмента риска: поддержка СМИБ
Структура организации представлена на Рисунке 1
| Генеральный директор |
| Бухгалтерия |
| Отдел кадров |
| Отдел продаж |
| Секретариат |
| Отдел ИБ |
| Техподдержка |
| Отдел разработки ПО |
Рисунок 1. – Структура организации ПАО «Виа Информация»
2.2. Определение активов
Основные и вспомогательные активы ПАО «Виа Информация» приведены в Таблице 1.
Таблица 1. - Основные и вспомогательные активы ПАО «Виа Информация»
| Тип актива | Наименование актива |
| Основные активы | |
| Бизнес-процессы | 1. Разработка ПО |
| 2. Продажа ПО | |
| 3. Взаимоотношения с персоналом | |
| 4. Взаимоотношения с клиентами | |
| Информация | 1. Методики разработки программного обеспечения |
| 2. Персональные данные клиентами | |
| 3. Информация о финансовом положении | |
| 4. Информация о заключенных контрактах | |
| 5. Персональные данные сотрудников | |
| Вспомогательные активы | |
| Аппаратные средства | 1. Компьютер (системный блок, мышь, клавиатура, монитор) |
| 2. Сервер | |
| 3. Сетевое оборудование | |
| 4. Источник бесперебойного питания | |
| Носители | 1. Флеш накопитель |
| 2. Внешний жесткий диск | |
| Общесистемное программное обеспечение | 1. Windows 10 |
| 2. 7 Zip | |
| 3. Dr. web | |
| 4. Google Chrome browser | |
| 5. Пакет программ Microsoft Office | |
| Специальное программное обеспечение | 1. ИС для автоматизации бухгалтерского учета |
| 2. ИС управления персоналом | |
| 3. CRM-система | |
| Сеть | 1. Локальная сеть организации (Глобальная сеть с ограничениями к некоторым ресурсов) |
| Персонал | 1. Сотрудники отдела разработки ПО |
| 2. Руководитель организации | |
| 3. Сотрудники техподдержки | |
| 4. Начальники отделов | |
2.3. Определение угроз и их источников
Для всех активов ПАО «Виа Информация» были определены виды и источники угроз (Таблицы 2-53)
Для каждого вида угрозы определенна вероятность реализации.
Таблица 2. - Сведения о вероятности угроз для актива разработка ПО
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Низкая |
| Компрометация информации | Дистанционный шпионаж; | Средняя |
Таблица 3. - Сведения о источниках угроз для актива разработка ПО
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Деньги | Проникновение в систему |
| Раскрытие | Хакер, взломщик | Конкурентное преимущество | Несанкционированный доступ к системе |
Таблица 4. - Сведения о вероятности угроз для актива продажа ПО
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Низкая |
| Компрометация информации | Дистанционный шпионаж; | Средняя |
Таблица 5. - Сведения о источниках угроз для актива продажа ПО
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Деньги | Проникновение в систему |
| Раскрытие | Хакер, взломщик | Конкурентное преимущество | Несанкционированный доступ к системе |
Таблица 6. - Сведения о вероятности угроз для актива взаимоотношения с персоналом
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Низкая |
| Компрометация информации | Дистанционный шпионаж; | Средняя |
Таблица 7. - Сведения о источниках угроз для актива взаимоотношения с персоналом
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Деньги | Проникновение в систему |
| Раскрытие | Хакер, взломщик | Конкурентное преимущество | Несанкционированный доступ к системе |
Таблица 8. - Сведения о вероятности угроз для актива взаимоотношения с клиентами
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Низкая |
| Компрометация информации | Дистанционный шпионаж; | Средняя |
Таблица 9. - Сведения о источниках угроз для актива взаимоотношения с клиентами
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Деньги | Проникновение в систему |
| Раскрытие | Хакер, взломщик | Конкурентное преимущество | Несанкционированный доступ к системе |
Таблица 10. - Сведения о вероятности угроз для актива методики разработки программного обеспечения
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Кража носителей или документов | Средняя |
| Компрометация информации | Прослушивание | Средняя |
Таблица 11. - Сведения о источниках угроз для актива методики разработки программного обеспечения
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Компрометация информации | Кража носителей или документов | Бунтарство | Проникновение в систему |
| Компрометация информации | Прослушивание | Конкурентное преимущество | Хищение информации |
Таблица 12. - Сведения о вероятности угроз для актива персональные данные клиентами
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Кража носителей или документов | Средняя |
| Компрометация информации | Прослушивание | Средняя |
Таблица 13. - Сведения о источниках угроз для актива персональные данные клиентами
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Компрометация информации | Кража носителей или документов | Бунтарство | Проникновение в систему |
| Компрометация информации | Прослушивание | Конкурентное преимущество | Хищение информации |
Таблица 14. - Сведения о вероятности угроз для актива информация о финансовом положении
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Кража носителей или документов | Средняя |
| Компрометация информации | Прослушивание | Средняя |
Таблица 15. - Сведения о источниках угроз для актива информация о финансовом положении
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Компрометация информации | Кража носителей или документов | Бунтарство | Проникновение в систему |
| Компрометация информации | Прослушивание | Конкурентное преимущество | Хищение информации |
Таблица 16. - Сведения о вероятности угроз для актива информация о заключенных контрактах
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Кража носителей или документов | Средняя |
| Компрометация информации | Прослушивание | Средняя |
Таблица 17. - Сведения о источниках угроз для актива информация о заключенных контрактах
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Компрометация информации | Кража носителей или документов | Бунтарство | Проникновение в систему |
| Компрометация информации | Прослушивание | Конкурентное преимущество | Хищение информации |
Таблица 18. - Сведения о вероятности угроз для актива персональные данные сотрудников
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Кража носителей или документов | Средняя |
| Компрометация информации | Прослушивание | Средняя |
Таблица 19. - Сведения о источниках угроз для актива персональные данные сотрудников
| Наименование угрозы | Источник угрозы | Мотивация |
| Компрометация информации | Кража носителей или документов | Бунтарство |
| Компрометация информации | Прослушивание | Конкурентное преимущество |
Таблица 20. - Сведения о вероятности угроз для актива компьютер (системный блок, мышь, клавиатура, монитор)
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Ущерб, причиненный водой | Низкая |
| Компрометация информации | Кража оборудования | Низкая |
Таблица 21. - Сведения о источниках угроз для актива компьютер (системный блок, мышь, клавиатура, монитор)
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Ущерб, причиненный водой | Инсайдеры | Месть | Вредительство в системе |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 22. - Сведения о вероятности угроз для актива сервер
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Ущерб, причиненный водой | Низкая |
| Компрометация информации | Кража оборудования | Низкая |
Таблица 23. - Сведения о источниках угроз для актива сервер
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Ущерб, причиненный водой | Инсайдеры | Месть | Вредительство в системе |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 24. - Сведения о вероятности угроз для актива сетевое оборудование
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Ущерб, причиненный водой | Низкая |
| Компрометация информации | Кража оборудования | Низкая |
Таблица 25. - Сведения о источниках угроз для актива сетевое оборудование
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Ущерб, причиненный водой | Инсайдеры | Месть | Вредительство в системе |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 26. - Сведения о вероятности угроз для актива источник бесперебойного питания
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Ущерб, причиненный водой | Низкая |
| Компрометация информации | Кража оборудования | Низкая |
Таблица 27. - Сведения о источниках угроз для актива источник бесперебойного питания
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Ущерб, причиненный водой | Инсайдеры | Месть | Вредительство в системе |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 28. - Сведения о вероятности угроз для актива флеш накопитель
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Пыль, коррозия, замерзание | Низкая |
| Компрометация информации | Кража оборудования | Средняя |
Таблица 29. - Сведения о источниках угроз для актива флеш накопитель
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Пыль, коррозия, замерзание | Инсайдеры | Ненамеренные ошибки | Неправильное использование компьютера |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 30. - Сведения о вероятности угроз для актива внешний жесткий диск
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Пыль, коррозия, замерзание | Низкая |
| Компрометация информации | Кража оборудования | Средняя |
Таблица 31. - Сведения о источниках угроз для актива внешний жесткий диск
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Пыль, коррозия, замерзание | Инсайдеры | Ненамеренные ошибки | Неправильное использование компьютера |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 32. - Сведения о вероятности угроз для актива windows 10
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 33. - Сведения о источниках угроз для актива windows 10
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 34. - Сведения о вероятности угроз для актива 7 zip
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 35. - Сведения о источниках угроз для актива 7 zip
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 36. - Сведения о вероятности угроз для актива dr. web
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 37. - Сведения о источниках угроз для актива dr. web
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 38. - Сведения о вероятности угроз для актива google chrome browser
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 39. - Сведения о источниках угроз для актива google chrome browser
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 40. - Сведения о вероятности угроз для актива пакет программ microsoft office
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 41. - Сведения о источниках угроз для актива пакет программ microsoft office
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 42. - Сведения о вероятности угроз для актива ИС для автоматизации бухгалтерского учета
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 43. - Сведения о источниках угроз для актива ИС для автоматизации бухгалтерского учета
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 44. - Сведения о вероятности угроз для актива ИС управления персоналом
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 45. - Сведения о источниках угроз для актива ИС управления персоналом
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 46. - Сведения о вероятности угроз для актива CRM-система
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Компрометация информации | Раскрытие | Средняя |
| Технические неисправности | Отказ оборудования | Средняя |
Таблица 47. - Сведения о источниках угроз для актива CRM-система
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Отказ оборудования | Лицо, совершающее компьютерное преступление | Разрушение информации | Компьютерное преступление |
Таблица 48. - Сведения о вероятности угроз для актива локальная сеть организации (глобальная сеть с ограничениями к некоторым ресурсов)
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Пожар; Крупная авария | Низкая |
| Компрометация информации | Дистанционный шпионаж | Высокая |
Таблица 49. - Сведения о источниках угроз для актива локальная сеть организации (глобальная сеть с ограничениями к некоторым ресурсов)
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 50. - Сведения о вероятности угроз для актива сотрудники отдела разработки ПО
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Пожар; Крупная авария | Низкая |
| Компрометация информации | Дистанционный шпионаж | Высокая |
Таблица 51. - Сведения о источниках угроз для актива сотрудники отдела разработки ПО
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 52. - Сведения о вероятности угроз для актива руководитель организации
| Вид угрозы | Наименование угрозы | Вероятность угрозы |
| Физический ущерб | Пожар; Крупная авария | Низкая |
| Компрометация информации | Дистанционный шпионаж | Высокая |
Таблица 53. - Сведения о источниках угроз для актива руководитель организации
| Наименование угрозы | Источник угрозы | Мотивация | Действия угрозы |
| Дистанционный шпионаж; | Хакер, взломщик | Бунтарство | Проникновение в систему |
| Кража оборудования | Промышленный шпионаж | Конкурентное преимущество | Хищение информации |
Таблица 54. - Сведения о вероятности угроз для актива сотрудники техподдержки
|
|
|
© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.
|