Система управления ИБ

Содержание задания

Данное задание продолжает первую практическую работу, которая была в прошлом модуле.

Директор департамента ИТ компании «Самосвал» планирует ввести интернет вещей (IoT, Internet of Things) для работы с продуктами на складах (сборка заказов, проверка срока годности товаров, доставка товаров и пр.), но систематически не включает отдел ИБ как в работу над проектной инициативой, так и в процесс изменений в ИТ-инфраструктуре.

В то же время в инфраструктуре «Самосвала» продолжают наблюдаться сбои и недоступность сервисов, что влечет за собой отток клиентов. Если последнее исследование показало, что недоступность приложения повлекла за собой отток клиентов на 3%, то последние кратковременные сбои в работе создали уже лавинообразный эффект — даже постоянные клиенты стали реже делать заказы. Система лояльности не дает результатов. Сбои происходят на стороне провайдера ЦОД. О причинах сбоев провайдер не сообщает, так как это не закреплено в контракте. Контроли ИБ провайдера, обеспечивающие доступность услуг и информации, компания не может проверить по той же причине. Отдел ИБ предлагает проект по переносу вычислительных мощностей в контур инфраструктуры компании «Самосвал».

Задание

1. Сформулируйте область действия СУИБ, поддерживающую (продолжающую) цель компании «Самосвал».
2. Проведите оценку рисков ИБ в рамках области действия СУИБ с учетом влияния проектных инициатив, описанных в задании. Сформируйте и перечислите по пунктам (!) рекомендации для руководства по приоритизации проектов и активностей по защите ИТ-инфраструктуры в следующем рабочем периоде по результатам оценки рисков ИБ.

Формат сдачи задания

Табличный формат (Excel) с областью действия СУИБ, оценкой рисков ИБ на одном листе и с рекомендациями для руководства на другом листе. Рекомендации для руководства не должны превышать 300 слов.

Критерии оценивания

1. Область действия СУИБ сформулирована, в ней содержится наименование процесса, который является важным для выполнения цели компании — 1 балл
2. Дано пояснение, почему выбрана такая область действия СУИБ. Например, указана цель компании бизнес—процесс, который поддерживает эту цель — 2 балла
3. Проведена оценка рисков ИБ в рамках СУИБ, отражены все три этапа: идентификация, анализ, оценивание рисков ИБ — 2 балла
4. В оценке рисков выделены: активы, уязвимости, угрозы, вероятность, последствия — 2 балла
5. Сформировано правило оценки уровня риска ИБ — 1 балл
6. Сформулированы критерии принятия риска ИБ — 1 балл
7. Для неприемлемых рисков ИБ выбраны меры реагирования — 1 балл
8. Для руководства сформированы рекомендации, соотносящиеся с контекстом, определенном в задании — 2 балла