Риски информационной безопасности – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.

Актуальность темы курсовой работы обусловлена тем, что оценка рисков информационной безопасности позволяет определить необходимую и достаточную совокупность средств защиты информации, а также организационных мер направленных на снижение рисков информационной безопасности, и разработать архитектуру СИБ организации, максимально эффективную для ее специфики деятельности.

Цель курсовой работы – провести оценку рисков информационной безопасности путем ранжирования угроз посредством мер риска

Для достижения цели необходимо выполнить следующие задачи:

‒ Описать понятие риска информационной безопасности;

‒ рассмотреть особенности управления рисками информационной безопасности;

‒ описать методику анализа рисков информационной безопасности;

‒ установить контент для последующей оценки рисков информационной безопасности;

‒ определить основные и вспомогательные активы организации;

‒ выявить угрозы для активов организации и их источники;

‒ определить ценность активов организации;

‒ оценить риски информационной безопасности.

Объект курсовой работы – риски информационной безопасности.

Предмет курсовой работы – оценка рисков информационной безопасности.

Курсовая работа написана с использованием сайтов на которых материалы предназначены для обучения людей темам информационной безопасности и иным видам деятельности.

Для оценки рисков информационной безопасности использована методика приведенная в ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

Курсовая работа состоит из введения, двух глав, заключения, списка источников информации и приложений.

Первая глава содержит описание понятия риска ИБ, рассмотрены особенности управления рисками информационной безопасности, описание методики анализа рисков информационной безопасности.

Во второй главе проведена оценка рисков ИБ с помощью ГОСТа Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

1. УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1. Понятие риска информационной безопасности

Все информационные риски можно классифицировать на различные группы на основании нескольких критериев:

‒ по источникам информационные риски делятся на внутренние и внешние;

‒ по характеру – на преднамеренные и непреднамеренные;

‒ по виду – прямые или косвенные;

‒ по результату – нарушение достоверности информации, нарушение актуальности информации, нарушение полноты информации, нарушение конфиденциальности и др.

‒ по механизму воздействия: стихийные бедствия, аварии, ошибки специалистов и др.

Классификация рисков нарушения информационной безопасности [1]

Разработка классификации рисков нарушения информационной безопасности представляется важной задачей для их эффективного изучения и разработки технических и организационных мер для учета рисков, их прогнозирования, управления рисками, оценки эффективности этих мер с точки зрения отношения затрат к надежности. Однако до сих пор попытки использования классификаций для описания по возможности большего количества угроз показали, что во многих случаях реальные угрозы либо не подходили ни под один из классификационных признаков, либо, наоборот, удовлетворяли нескольким. Основная цель создания классификации угроз – наиболее полная, детальная классификация, которая описывает все существующие угрозы информационной безопасности, по которой каждая из угроз попадает только под один классификационный признак и которая, таким образом, наиболее применима для анализа рисков реальных информационных систем. При классифицировании в первую очередь необходимо определиться с возможными аспектами и критериями ИБ. Наиболее правильную классификацию даст подход, опирающийся на составляющие «рисков» информационной безопасности. Для управления рисками требуется идентифицировать возможные угрозы. Таковыми могут являться, например, наводнение, отключение электропитания или атаки злоумышленников с последствиями разной степени тяжести. Вторая задача состоит в построении модели нарушения. Как отмечается в ГОСТ ISO 15408, понятие «риска» является следствием взаимного соотношения понятий «актив», «уязвимость», «угроза» и «ущерб»: Под риском подразумевается сочетание вероятности нанесения ущерба путем преодоления системы защиты с использованием уязвимостей и тяжести этого ущерба. Минимизация рисков осуществляется с помощью разработки схемы поведения, так называемой «политики безопасности» и управления ею. Управление работами по реализации политики безопасности – это и есть управление рисками. Таким образом, анализ понятия «риск нарушения информационной безопасности» должен основываться на анализе «причин нарушения ИБ» и «последствий нарушения ИБ».

Существуют различные виды информационных рисков, основания и критерии, позволяющие их классифицировать. Среди всего многообразия оснований для классификации рисков выделяют классификации по:

‒ источнику риска (внешний и внутренний);

‒ объему (локальный, глобальный);

‒ уровню новизны (повседневный, инновационный);

‒ мере опасности (катастрофический, допустимый, критический);

‒ срокам (кратковременный, стабильный);

‒ возможности преобразования (систематический, специфический);

‒ области применения (информационный, экологический, экономический и др.);

‒ степени риска (оправданный, неоправданный). [2]

1.2. Особенности управления рисками информационной безопасности

Управление рисками — процесс принятия и выполнения управленческих решений, направленных на снижение вероятности возникновения неблагоприятного результата и минимизацию возможных потерь проекта, вызванных его реализацией.

Главными задачами управления рисками являются:

‒ обеспечение полного контроля над рисками за счет описания и оценки всех рисков компании, эффективной системы мониторинга рисков и своевременного выявления новых рисков;

‒ внедрение принципов учета рисков при принятии управленческих решений на основе четких процедур их выявления и оценки;

‒ анализ воздействия рисков на ключевые показатели деятельности компании, включая ее стоимость;

‒ обеспечение прогнозируемости рисков, которым подвержена компания и, соответственно, страхование от потерь;

‒ возможная минимизация рисков и потерь при условии соблюдения экономической целесообразности;

‒ обеспечение эффективной связи между стремлением компании зарабатывать прибыль и стремлением сделать это с минимальными потерями, т.е. обеспечение оптимального сочетания доходности и риска. [3]

Этапы управления рисками информационной безопасности:

‒ анализ риска;

‒ выявление и оценка риска;

‒ выбор методов воздействия на риск при сравнении их эффективности;

‒ принятие решения;

‒ воздействие на риск;

‒ снижение, сохранение, передача риска;

‒ контроль результатов.

Функции управления рисками информационной безопасности

Определение приемлемого для организации уровня риска (риск-аппетита) – критерия, используемого при решении о принятии риска или его обработке. На основании этого критерия определяется, какие идентифицированные в дальнейшем риски будут безоговорочно приняты и исключены из дальнейшего рассмотрения, а какие подвергнуты дальнейшему анализу и включены в план реагирования на риски. [4]

Идентификация, анализ и оценка рисков. Для принятия решения относительно рисков они должны быть однозначно идентифицированы и оценены с точки зрения ущерба от реализации риска и вероятности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы организации и поддерживаемые ими бизнес-процессы. При оценке вероятности производится анализ вероятности реализации риска. Оценка данных параметров может базироваться на выявлении и анализе уязвимостей, присущим ИТ-активам, на которые может влиять риск, и угрозам, реализация которых возможная посредством эксплуатации данных уязвимостей. Также в зависимости от используемой методики оценки рисков, в качестве исходных данных для их оценки может быть использована модель злоумышленника, информация о бизнес-процессах организации и других сопутствующих реализации риска факторах, таких как политическая, экономическая, рыночная или социальная ситуация в среде деятельности организации. При оценке рисков может использоваться качественный, количественный или смешанный подход к их оценке. Преимуществом качественного подхода является его простота, минимизация сроков и трудозатрат на проведение оценки рисков, ограничениями – недостаточная наглядность и сложность использования результатов анализа рисков для экономического обоснования и оценки целесообразности инвестиций в меры реагирования на риски. Преимуществом количественного подхода является точность оценки рисков, наглядность результатов и возможность сравнения значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, недостатками – сложность, высокая трудоемкость и длительность исполнения.

Ранжирование рисков. Для определения приоритета при реагировании на риски и последующей разработки плана реагирования все риски должны быть проранжированы. При ранжировании рисков, в зависимости от используемой методики, могут применяться такие критерии определения критичности, как ущерб от реализации рисков, вероятность реализации, ИТ-активы и бизнес-процессы, затрагиваемые риском, общественный резонанс и репутационый ущерб от реализации риска и др.

Принятие решения по рискам и разработка плана реагирования на риски. Для определения совокупности мер реагирования на риски необходимо провести анализ идентифицированных и оцененных рисков с целью принятия относительно каждого их них одного из следующих решений:

‒ избегание риска;

‒ принятие риска;

‒ передача риска;

‒ снижение риска.

Принятое по каждому риску решение должно быть зафиксировано в плане реагирования на риски. Также данный план может содержать, в зависимости от используемой методики, следующие информацию, необходимую для реагирования на риски:

‒ ответственный за реагирование;

‒ описание мер реагирования;

‒ оценка необходимых инвестиций в меры реагирования;

‒ сроки реализации этих мер.

Реализация мероприятий по реагированию на риски. Для реализации мер реагирования на риски ответственные лица организуют выполнение описанного в плане реагирования на риск действия в необходимые сроки.

Оценка эффективности реализованных мер. Для достижения уверенности, что применяемые в соответствии с планом реагирования меры эффективны и уровень рисков соответствует приемлемому для организации, производится оценка эффективности каждой реализованной меры реагирования на риск, а также регулярная идентификация, анализ и оценка рисков организации

1.3. Методика анализа рисков информационной безопасности

Анализ рисков информационной безопасности производится в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

Анализ рисков информационной безопасности в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности включает в себя выполнение следующих этапов:

‒ установление контекста;

‒ определение активов;

‒ определение угроз и их источников;

‒ установление ценности активов;

‒ оценка рисков информационной безопасности путем ранжирования угроз посредством мер риска;

Этап установления контекста подразумевает описание ряда параметров организации:

1. Основная цель организации.

Основная цель организации может определяться сферой ее деятельности, сегментом рынка и др.

2. Бизнес организации.

Бизнес организации, определяемый техническими приемами, применяемыми ее сотрудниками и накопленным ими опытом (ноу-хау), дает ей возможность реализовывать свое назначение. Он является специфичной областью деятельности организации и зачастую определяет культуру ее труда.

Назначение организации. Организация достигает своей цели посредством реализации своего назначения. Для определения ее назначения должны быть определены предоставляемые сервисы и/или производимая продукция.

3. Ценности организации.

Ценностями являются основные нормы или четко определенный кодекс поведения. выполняемые для осуществления бизнеса. Это может касаться персонала, отношений с внешними сторонами (например, клиентами), качества поставляемой продукции или предоставляемых сервисов.

4. Цель менеджмента риска информационной безопасности.

Менеджмент риска информационной безопасности может проводиться с одной из следующих целей:

‒ поддержка СМИБ;

‒ исполнение законодательно-нормативных требований и подтверждение проявленной организацией разумной предосторожности.

5. Структура организации.

Организационная структура организации

Активом является что-либо, имеющее ценность для организации и, следовательно, нуждающееся в защите. При определении активов следует иметь в виду, что информационная система состоит не только из аппаратных и программных средств.

Основные активы бывают двух типов.

Бизнес-процессы (или подпроцессы) и бизнес-деятельность, например:

‒ процессы, утрата или ухудшение которых делает невозможным реализацию целей и задач организации;

‒ процессы, содержащие засекреченные процессы или процессы, созданные с использованием патентованной технологии;

‒ процессы, модификация которых может значительно повлиять на реализацию целей и задач организации;

‒ процессы, которые необходимы организации для выполнения договорных, законодательных или нормативных требований.

Информация.

В общем основная информация включает в себя:

‒ информацию, необходимую для реализации назначения или бизнеса организации;

‒ информацию личного характера, которая определена особым образом, соответствующим национальным законам о неприкосновенности частной жизни;

‒ стратегическую информацию, необходимую для достижения целей, определяемых направлением стратегии организации;

‒ ценную информацию, сбор, хранение, обработка и передача которой требуют продолжительного времени и/или связаны с большими затратами на ее приобретение.

Процессы и информация, которые не были определены как чувствительные относительно данной деятельности, не будут иметь определенной классификации в оставшейся части исследования. Это означает, что если такие процессы или информация будут скомпрометированы, организация по-прежнему будет успешно осуществлять свое назначение. Тем не менее они часто наследуют меры и средства контроля и управления, реализуемые для защиты процессов и информации, определенных как чувствительные.

Выделяют также вспомогательные активы, которые должны быть определены и описаны. Этим активам присущи уязвимости, которые могут быть использованы угрозами, нацеленными на порчу основных активов сферы рассмотрения (процессов и информации). Они могут быть различных типов.

Типы вспомогательных активов:

1. Аппаратные средства

Тип «аппаратные средства» включает все физические элементы, поддерживающие процессы, к ним относятся аппаратура обработки данных (активная). Аппаратура автоматизированной обработки информации состоит из элементов, необходимых для независимой работы.

К аппаратным средствам также относится мобильная аппаратура (портативная вычислительная техника). Примерами мобильной аппаратуры является портативный компьютер (ноутбук), карманный компьютер.

В состав аппаратных средств входит стационарная аппаратура, т.е. вычислительная техника, используемая в помещениях организации, на пример сервер, микрокомпьютер, используемый в качестве рабочей станции.

Периферийное обрабатывающее оборудование, т.е. аппаратура, подсоединенная к компьютеру посредством связного порта (соединение через последовательные, параллельные каналы и т. л.) для ввода, перемещения или передачи данных (принтеры).

Носители для хранения данных или функций. Электронные носители, которые могут быть подсоединены к компьютеру или компьютерной сети для хранения данных. Несмотря на компактный размер, такие носители могут содержать большой объем данных. Они могут использоваться со стандартной вычислительной аппаратурой (CD ROM, сменный жесткий диск, ключ защиты памяти, USB-накопители).

Другие носители. Статичные, неэлектронные носители, содержащие данные: бумага, слайд, диапозитив, документация, факс.

2. Программное обеспечение включает программы, содействующие работе устройства по обработке данных.

В состав программного обеспечения входит операционная система. Такое наименование подразумевает включение всех программ компьютера, создающего операционную основу, на которой исполняются все другие программы (сервисы или приложения). Оно означает включение ядра и основных функций или сервисов. В зависимости от архитектуры операционная система может быть монолитной или состоящей из микроядра и совокупности системных сервисов. Главными элементами операционной системы являются все сервисы менеджмента оборудования (центральное процессорное устройство, запоминающее устройство, диски и сетевые интерфейсы), сервисы менеджмента задач или процессов, а также сервисы менеджмента пользователей и прав пользователей.

Программное обеспечение обслуживания, сопровождения или администрирования, которое дополняет сервисы операционной системы, но не обслуживает непосредственно пользователей или приложения (даже если это обычно является важным или обязательным для общей работы информационной системы).

Пакетное программное обеспечение или стандартные программы, которые являются завершенными продуктами, предназначенными для получения прибыли (а не одноразовыми или специфическими разработками), продаваемыми вместе с носителем, версией и сопровождением. Они обеспечивают сервисы для пользователей и приложений, но не являются персонифицированными или специфичными в отличие от бизнес-приложений.

К такому программному обеспечению относят программное обеспечение управления базой данных, программное обеспечение электронного обмена сообщениями, программное обеспечение коллективного пользования, программное обеспечение каталогов, программное обеспечение Web-сервера и т. д.

Стандартные и специфические бизнес-приложения. Стандартное бизнес-приложение – это коммерческое программное обеспечение, предназначенное для предоставления пользователям прямого доступа к сервисам и функциям, требуемым ими от своей информационной системы в своем профессиональном контексте. Существует огромное разнообразие видов такого программного обеспечения.

Пример — программное обеспечение учетных записей, программное обеспечение управления станками. программное обеспечение медицинского наблюдения за пациентами, программное обеспечение менеджмента компетентности персонала, административное программное обеспечение и т. д.

Специфическое бизнес-приложение – это программное обеспечение, в котором различные аспекты (главным образом, поддержка, сопровождение, модернизация и т. д.) были разработаны специально для предоставления пользователям прямого доступа к сервисам и функциям, требуемым ими от своей информационной системы. Существует огромное, разнообразие видов такого программного обеспечения.

3. Сеть

Тип «сеть» состоит из всех телекоммуникационных устройств, используемых для соединения нескольких физически удаленных компьютеров или элементов информационной системы.

Среда или оборудование связи и дальней связи характеризуются, главным образом, физическими и техническими характеристиками оборудования («точка—точка», ретрансляция) и протоколами связи (канальный или сетевой — уровни 2 и 3 семиуровневой модели взаимодействия открытых систем).

Пример — Коммутируемая телефонная сеть общего пользования (PSTN — Public Switching Telephone Network), Ethernet, Gigabit Ethernet, асимметричная цифровая абонентская линия (ADSL — Asymmetric Digital Subscriber Line), стандарты на беспроводную связь (например, WiFi 802.11), спецификация Bluetooth, стандарт FireWire.

4. Персонал

Тип «персонал» состоит из всех групп сотрудников, участвующих в работе информационной системы, выделяют следующие группы сотрудников:

‒ лица, принимающие решения;

‒ пользователи;

‒ персонал по эксплуатации и сопровождению;

‒ разработчики.

Лицами, принимающими решения, являются владельцы основных активов (информации и функций) и руководители организации или определенного проекта (руководство организации, руководитель проекта).

Пользователями является персонал, обрабатывающий чувствительные элементы в контексте своей деятельности и несущий в этой связи определенную ответственность. Они могут обладать особыми правами доступа к информационной системе, необходимыми им для решения своих повседневных задач (руководитель отдела кадров, руководитель финансового отдела, руководитель, осуществляющий менеджмент риска).

Персонал по эксплуатации и сопровождению - это персонал, занимающийся эксплуатацией и сопровождением информационной системы. Он обладает особыми правами доступа к информационной системе, необходимыми ему для решения своих повседневных задач (системный администратор, администратор данных, оператор резервирования, справочного стола, развертывания приложений, сотрудники службы безопасности).

Разработчики занимаются разработкой приложений организации. Они обладают высокоуровневыми правами доступа к части информационной системы, но не выполняют каких-либо действий в отношении данных, связанных с выпуском продукции (разработчики программного обеспечения).

5. Связь.

Телекоммуникационные сервисы и оборудование, обслуживаемые оператором., к ним относятся телефонная линия, АТС организации с исходящей и входящей связью, внутренние телефонные сети.

6. Контрагенты/поставщики/изготовители.

Организация, обеспечивающая данную организацию сервисом или ресурсами и связанная с ней договором (компания по управлению оборудованием, аутсорсинговая компания, консалтинговые компании).

Далее для каждого актива определяется перечень угроз. Затем все угрозы необходимо проранжировать по степени вероятности.

Наиболее вероятная – самый высокий ранг, наименее вероятная – самый низкий ранг, ранг выражается арабской цифрой.

Угрозы могут быть умышленными, случайными или связанными с внешней средой (при родными) и могут иметь результатом, например, ущерб или потерю важных сервисов.

Для каждой угрозы указывается ее происхождение: «У» (умышленная), «С» (случайная), «П» (природная) угроза. «У» обозначает все умышленные действия, направленные на информационные активы, «С» обозначает все действия персонала, которые могут случайно нанести ущерб информационным активам, а «П» обозначает все инциденты, не основанные на действиях персонала. Перечень типичных угроз приведен в
Приложении 1.

Следующим этапом является определение ценности активов.

Ценность активов можно определить на основе возможных последствий.

Для этого для каждой угрозы необходимо выписать возможные последствия из списка.

Возможными последствиями могут быть:

‒ Прерывание сервиса — невозможность обеспечения сервиса;

‒ утрата доверия клиента — утрата доверия международной информационной системе, потеря репутации;

‒ нарушение внутреннего функционирования —нарушения внутри самой организации, дополнительные;

‒ внутренние расходы;

‒ нарушение функционирования третьей стороны — нарушения в функционировании третьих сторон, ведущих дела с организацией, различные виды убытков;

‒ нарушение законов/норм — неспособность выполнения правовых обязательств;

‒ нарушение договора — неспособность выполнения договорных обязательств;

‒ опасность для персонала/безопасность пользователей —опасность для персонала и/или пользователей организации;

‒ вторжение в частную жизнь пользователей;

‒ финансовые потери;

‒ финансовые потери, связанные с чрезвычайными обстоятельствами или ремонтом — касающиеся персонала. касающиеся оборудования, касающиеся исследований, отчетов экспертов;

‒ потеря товаров/фондов/активов;

‒ потеря клиентов, потеря поставщиков;

‒ судебные дела и штрафы;

‒ потеря конкурентного преимущества;

‒ потеря технологического/технического лидерства;

‒ потеря эффективности/надежности;

‒ потеря технической репутации;

‒ снижение способности к заключению соглашений;

‒ промышленный кризис (забастовки);

‒ правительственный кризис;

‒ увольнения;

‒ материальный ущерб.

Каждому варианту последствия присвоить значение равное 1, чтобы определить ценность конкретного актива по отношению к заданной угрозе необходимо просуммировать значения всех последствий.

Например: если угроза имеет три возможных последствия, то сумма будет равна 3.

Для оценки рисков информационной безопасности путем ранжирования угроз посредством мер риска для каждого актива рассчитывается мера риска (1).

Мера риска = вероятность возникновения угрозы * Ценность актива

(1)

В зависимости от полученных значений меры риска определяется угроза, для которой риск наиболее велик.

Для этой угрозы определяется источник происхождения. Особое внимание следует уделять источникам угроз, происходящих от деятельности человека. Перечень возможных источников угроз приведен в Приложении 2.

Также необходимо уязвимости, в следствие которых угроза может быть реализована (см. Приложение 3).

Таким образом: риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления. Процесс управления рисками можно подразделить на следующие этапы: выбор анализируемых объектов и уровня детализации их рассмотрения; выбор методики оценки рисков; идентификация активов; анализ угроз и их последствий, определение уязвимостей в защите; оценка рисков; выбор защитных мер; реализация и проверка выбранных мер; оценка остаточного риска.

Анализ рисков информационной безопасности производится в соответствии с ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.

2. ОЦЕНКА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ

2.1. Описание исходных данных. Установление контекста

Название организации: ПАО «Виа Информация»

Вид деятельности: организация «Виа Информация» занимается разработкой и продажей программного обеспечения по защите баз данных.

Перечень услуг: продажа программных обеспечений, разработка программного обеспечения

Ценности организации: ПО работает безотказно, высокий уровень коммуникабельности между персоналом и клиентами.

Цель менеджмента риска: поддержка СМИБ

Структура организации представлена на Рисунке 1

Генеральный директор

Бухгалтерия

Отдел кадров

Отдел продаж

Секретариат

Отдел ИБ

Техподдержка

Отдел разработки ПО

Рисунок 1. – Структура организации ПАО «Виа Информация»

2.2. Определение активов

Основные и вспомогательные активы ПАО «Виа Информация» приведены в Таблице 1.

Таблица 1. - Основные и вспомогательные активы ПАО «Виа Информация»

Тип актива	Наименование актива
Основные активы
Бизнес-процессы	1. Разработка ПО
	2. Продажа ПО
	3. Взаимоотношения с персоналом
	4. Взаимоотношения с клиентами
Информация	1. Методики разработки программного обеспечения
	2. Персональные данные клиентами
	3. Информация о финансовом положении
	4. Информация о заключенных контрактах
	5. Персональные данные сотрудников
Вспомогательные активы
Аппаратные средства	1. Компьютер (системный блок, мышь, клавиатура, монитор)
	2. Сервер
	3. Сетевое оборудование
	4. Источник бесперебойного питания
Носители	1. Флеш накопитель
Носители	2. Внешний жесткий диск
Общесистемное программное обеспечение	1. Windows 10
	2. 7 Zip
	3. Dr. web
	4. Google Chrome browser
	5. Пакет программ Microsoft Office
Специальное программное обеспечение	1. ИС для автоматизации бухгалтерского учета
	2. ИС управления персоналом
	3. CRM-система
Сеть	1. Локальная сеть организации (Глобальная сеть с ограничениями к некоторым ресурсов)
Персонал	1. Сотрудники отдела разработки ПО
	2. Руководитель организации
	3. Сотрудники техподдержки
	4. Начальники отделов

2.3. Определение угроз и их источников

Для всех активов ПАО «Виа Информация» были определены виды и источники угроз (Таблицы 2-53)

Для каждого вида угрозы определенна вероятность реализации.

Таблица 2. - Сведения о вероятности угроз для актива разработка ПО

Вид угрозы	Наименование угрозы	Вероятность угрозы
Компрометация информации	Раскрытие	Низкая
Компрометация информации	Дистанционный шпионаж;	Средняя

Таблица 3. - Сведения о источниках угроз для актива разработка ПО

Наименование угрозы	Источник угрозы	Мотивация	Действия угрозы
Дистанционный шпионаж;	Хакер, взломщик	Деньги	Проникновение в систему
Раскрытие	Хакер, взломщик	Конкурентное преимущество	Несанкционированный доступ к системе

Таблица 4. - Сведения о вероятности угроз для актива продажа ПО

Вид угрозы	Наименование угрозы	Вероятность угрозы
Компрометация информации	Раскрытие	Низкая
Компрометация информации	Дистанционный шпионаж;	Средняя

Таблица 5. - Сведения о источниках угроз для актива продажа ПО

Наименование угрозы	Источник угрозы	Мотивация	Действия угрозы
Дистанционный шпионаж;	Хакер, взломщик	Деньги	Проникновение в систему
Раскрытие	Хакер, взломщик	Конкурентное преимущество	Несанкционированный доступ к системе

Таблица 6. - Сведения о вероятности угроз для актива взаимоотношения с персоналом

Вид угрозы	Наименование угрозы	Вероятность угрозы
Компрометация информации	Раскрытие	Низкая
Компрометация информации	Дистанционный шпионаж;	Средняя

Таблица 7. - Сведения о источниках угроз для актива взаимоотношения с персоналом

Наименование угрозы	Источник угрозы	Мотивация	Действия угрозы
Дистанционный шпионаж;	Хакер, взломщик	Деньги	Проникновение в систему
Раскрытие	Хакер, взломщик	Конкурентное преимущество	Несанкционированный доступ к системе

Таблица 8. - Сведения о вероятности угроз для актива взаимоотношения с клиентами

Вид угрозы	Наименование угрозы	Вероятность угрозы
Компрометация информации	Раскрытие	Низкая
Компрометация информации	Дистанционный шпионаж;	Средняя

Таблица 9. - Сведения о источниках угроз для актива взаимоотношения с клиентами

Наименование угрозы	Источник угрозы	Мотивация	Действия угрозы
Дистанционный шпионаж;	Хакер, взломщик	Деньги	Проникновение в систему
Раскрытие	Хакер, взломщик	Конкурентное преимущество	Несанкционированный доступ к системе

Таблица 10. - Сведения о вероятности угроз для актива методики разработки программного обеспечения

Вид угрозы	Наименование угрозы	Вероятность угрозы
Компрометация информации	Кража носителей или документов	Средняя
Компрометация информации	Прослушивание	Средняя

Таблица 11. - Сведения о источниках угроз для актива методики разработки программного обеспечения

Наименование угрозы	Источник угрозы	Мотивация	Действия угрозы
Компрометация информации	Кража носителей или документов	Бунтарство	Проникновение в систему
Компрометация информации	Прослушивание	Конкурентное преимущество	Хищение информации

⇐ Предыдущая 1 2 3 45

ОГЛАВЛЕНИЕ