Описание информационных рисков
Ресурс | AV | Угроза | Модель нарушения | EF | ARO | SLE | ALE |
Информация с камер наблюдения | 1 200 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.7 | 0.3 | 840 000 | 252 000 |
Журнал входа/выхода | 800 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.8 | 0.3 | 640 000 | 192 000 |
Архив разработки | 2 000 000 | Утечка, удаление, изменение | Воздействие вирусов, троянов, сетевых червей | 0.3 | 0.9 | 600 000 | 540 000 |
Личные данные персонала | 1 000 000 | Утечка, удаление, изменение | Воздействие вирусов, троянов, сетевых червей | 0.4 | 0.7 | 400 000 | 280 000 |
База данных сервера | 600 000 | Нарушение в работе базы данных и/или сервера, утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.2 | 0.7 | 120 000 | 84 000 |
Клиентская база | 1 500 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.2 | 0.5 | 300 000 | 150 000 |
Финансовая документация | 2 000 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.3 | 0.7 | 600 000 | 420 000 |
Внутренние разработки | 900 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.4 | 0.6 | 360 000 | 216 000 |
Перечень инвентаризации | 450 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.9 | 0.2 | 405 000 | 81 000 |
Ключи шифрования | 2 500 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.1 | 0.9 | 250 000 | 225 000 |
Для уменьшения рисков:
1. Архив разработки необходимо перенести из рабочих помещений в специализированные помещения с повышенным контролем доступа.
2. Финансовую документацию необходимо зашифровать с целью усложнения доступа к ней
3. Ключи шифрования необходимо переместить в специальное хранилище, защищенное от физического взлома и изолированное от внешнего мира.
4. Информацию с камер видеонаблюдения необходимо разбивать на части и хранить на разных носителях информации, защищенных шифрованием.
Описание остаточных информационных рисков
Ресурс | AV | Угроза | Модель нарушения | EF | ARO | SLE | ALE |
Информация с камер наблюдения | 1 200 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.5 | 0.2 | 600 000 | 120 000 |
Журнал входа/выхода | 800 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.8 | 0.3 | 640 000 | 192 000 |
Архив разработки | 2 000 000 | Утечка, удаление, изменение | Воздействие вирусов, троянов, сетевых червей | 0.2 | 0.9 | 400 000 | 360 000 |
Личные данные персонала | 1 000 000 | Утечка, удаление, изменение | Воздействие вирусов, троянов, сетевых червей | 0.4 | 0.7 | 400 000 | 280 000 |
База данных сервера | 600 000 | Нарушение в работе базы данных и/или сервера, утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.2 | 0.7 | 120 000 | 84 000 |
Клиентская база | 1 500 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.2 | 0.5 | 300 000 | 150 000 |
Финансовая документация | 2 000 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.3 | 0.5 | 600 000 | 300 000 |
Внутренние разработки | 900 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.4 | 0.6 | 360 000 | 216 000 |
Перечень инвентаризации | 450 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.9 | 0.2 | 405 000 | 81 000 |
Ключи шифрования | 2 500 000 | Утечка, изменение, удаление | Воздействие вирусов, троянов, сетевых червей | 0.1 | 0.7 | 250 000 | 175 000 |
Ресурс | Исходный риск | Остаточный риск | Снижение риска(%) |
Информация с камер наблюдения | 252 000 | 120 000 | 52,38 |
Архив разработки | 540 000 | 360 000 | 33,33 |
Финансовая документация | 420 000 | 300 000 | 28,57 |
Ключи шифрования | 225 000 | 175 000 | 22,22 |
ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель обеспечения информационной безопасности
Основными целями политики ИБ являются защита информации Организации и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в ее Уставе. Общее руководство обеспечением ИБ осуществляет директор ООО «“Withoutstink”. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет сотрудник отвечающий за функционирование автоматизированной системы и выполняющий функции администратора информационной безопасности (далее - администратор информационной безопасности). Руководители структурных подразделений учреждения ответственны за обеспечение выполнения требований ИБ в своих подразделениях. Сотрудники учреждения обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других документов ИБ.