Ревизор всегда должен в своих проверках ИТ-рисков опираться на требования законодательства РФ
РИСК = УЯЗВИМОСТЬ * ВЕРОЯТНОСТЬ * ПОТЕНЦИАЛЬНЫЙ УЩЕРБ
Источник информации по уязвимости - информационная безопасность;
Источник информации по вероятности - статистика;
Источник информации по вероятности - бизнес.
Группы угроз | Описание группы угроз |
Умышленные действия людей | Целенаправленные действия или бездействие сотрудников компании, сотрудников компаний-партнеров, специалистов, работающих по контракту, представителей законодательных органов, сторонних лиц, хакеров, повлекшие нежелательные события для компании. |
Неумышленные действия людей | Неумышленные действия или бездействие сотрудников компании, сотрудников компаний-партнеров, специалистов, работающих по контракту, сторонних лиц, повлекшие нежелательные события для компании. |
Неполадки в информационных системах | Аппаратные неисправности, ошибки в системном и прикладном ПО, нарушение связи с другими ИС, заражение вредоносным кодом. |
Нежелательные воздействия внешней среды | Нежелательные воздействия внешней среды, которые Компания не в состоянии контролировать |
Вероятность реализации угрозы определяется на данных из статистики по компании, мнения собственника бизнеса, общедоступной статистики и мнения сторонних экспертов.
Вероятность реализации | Описание |
Высокая вероятность (>70%) | Угроза реализуется почти каждый год или чаще |
Средняя вероятность (30-70%) | Угроза реализуется раз в 2 - 4 года |
Низкая вероятность (<30%) | Угроза реализуется реже, чем раз в 4 года |
Величина ущерба и риска | Монетарное описание | Немонетарное описание |
Катастрофичный | Потери превышают $10 миллионов |
Продолжительный период международного осуждения действий компании. Потенциально возможное юридическое преследование для топ - менеджеров или чрезвычайно высокие штрафы, длительные судебные тяжбы. |
Значительный | Потери составляют от $3 до $10 миллионов |
Международное неодобрение действий компании. Чрезвычайно высокие штрафы и пени, несколько судебных разбирательств. |
Умеренный | Потери составляют от $1 до $3 миллионов |
Значительное недовольство общественности и СМИ на международном уровне. Значительные штрафы и наказания для компании. Продолжительная судебная тяжба. |
Незначительный | Незначительный Потери составляют от $100,000 до $1 миллиона |
Значительное недовольство общественности и СМИ на национальном уровне. Крупное нарушение закона с последующей судебной тяжбой. |
Стратегические контроли Управление информационной безопасностью при работе со сторонними организациями (SР5) |
В компании существуют утвержденные процедуры защиты информации при работе с третьими сторонами. |
Компания производит проверку того, что предоставляемые по аутсорсингу методы и технологии обеспечения безопасности удовлетворяют принятым в компании стандартам обеспечения безопасности. |
Компания контролирует состояние защиты информации сторонних организаций, при осуществлении доступа своих сотрудников к информационным системам таких организаций. |
Компания проводит необходимое обучение сотрудников, работающих с информационными системами внешних организаций политикам, процедурам и стандартам информационной безопасности таких организаций. |
В компании утверждены процедуры аннулирования доступа сотрудникам сторонних организаций в случае нарушения политик безопасности компании. Сотрудники сторонних организаций ознакомлены с такими процедурами. |
ИТ сервис | Ущерб при нарушении конфиденциальности (разглашении) информации | Ущерб при несанкционированной (умышленной и/или неумышленной) модификации информации | Ущерб при недоступности ИТ сервиса | ||
Ущерб при частичной или полной потери информации | Ущерб при временной недоступности ИТ сервиса | ||||
Подразделение: Отдел продаж | |||||
1С: Бухгалтерия | Несущественный | Несущественный | Несущественный |
4 часа 24 часа 2 недели |
Несущественный |
Доступ в Интернет | Средний | Несущественный | Несущественный |
4 часа 24 часа 2 недели
|
Несущественный |
Почта и телефон | Средний | Средний | Несущественный |
4 часа 24 часа 2 недели |
Высокий |
Alexey.Pastoev@yandex.ru
CISSP
Комментариев пока нет