ПЛАНИРОВАНИЕ И УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ. Лабораторная работа №2 «Проведение оценки рисков информационной безопасности на базе продукта «R·Vision: Risk Manager» Вариант: №3

ПЛАНИРОВАНИЕ И УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ Лабораторная работа No2 «Проведение оценки рисков информационной безопасности на базе продукта «R·Vision: Risk Manager» Вариант: 3


Цель работы

Изучить способы проведения оценки рисков информационной системы в программе «R-Vision: SGRC», изучить различия режимов проведения оценки, а также изучить влияние видов информации, источников угроз, их предпосылок, защитных мер на итоговые значения рисков.

Вариант задания

Вариант: 3. Описание информационной системы
Ритейлерская сеть «Матвеев Батон Продукт»
Профиль организации: розничная торговля.
Структура:
офис в г. Москва с отделом контроля качества продукции, отделом закупок продуктов и отделом взаимодействия с точками продаж.
Бизнес-процессы:
1) отдел закупок продуктов занимается Работой с дилерами и контрагентами;
2) отдел контроля качества продукции занимается Аудитом;
3) отдел взаимодействия с точками продаж занимается Логистикой и доставкой.
Информационные активы:
1) отдел закупок продуктов обладает Сведениями о контрактах с внешними поставщиками услуг (для внутреннего использования);
2) отдел контроля качества продукции обрабатывает Сведения о результатах внутренних проверок организации (для внутреннего использования);
3) отдел взаимодействия с точками продаж обладает Сведениями о деловых переговорах и деловой переписке (для внутреннего использования).
Домен: Mat.
Персонал:
1 директор,
3 человека в отделе закупок,
1 человек в отделе контроля качества,
2 человека в отделе взаимодействия с точками продаж.
Помещения: 3 арендуемых помещения в БЦ «Мечта».
Оборудование:
7 рабочих станции с операционной системой Windows 7,
1 ноутбук для отдела контроля качества.
сервер СУБД Oracle
сервер АС «Сотрудники и Хозяйство»
сервер Windows Server 2008 (ActiveDirectory)
Сети: 10.0.1.1 – 10.0.1.100 - подсеть офиса
Инциденты:
1) Несанкционированные действия персонала сторонних организаций, обнаруженные отделом закупок.
2) Сбой/отказ в работе программного обеспечения в отделе взаимодействия с точками продаж.
3) Внедрение вредоносного кода на рабочей станции сотрудника отдела контроля качества
Документы по ИБ, утвержденные в компании:
1) Порядок предоставления информации в государственные органы при обнаружении отклонений в качестве продукции, используемый отделом контроля качества.
2) Порядок проверки контрагентов для отдела закупок.
3) Регламент проведения переговоров для отдела взаимодействия с точками продаж.
Защитные меры: выберите защитные меры для актива «Сведения о контрактах с внешними поставщиками услуг».
Замечания: Забыт ноутбук в точке продажи после окончания проведения проверки качества продукции.
Задача: провести оценку текущих договоров с контрагентами на предмет содержания в них разделов, посвященных защите коммерческой тайны.
Оценка рисков проводится для актива «Сведения о деловых переговорах и деловой переписке».
Источники угроз: выберите источники из категории «Внутренние антропогенные источники», связанные с контрагентами.
Предпосылки: выберите предпосылки из категории «Общеорганизационные предпосылки» и «Предпосылки, связанные с взаимодействием с третьими сторонами».
Защитные меры, указываемые при оценке риска: выберите меры из категории «Обеспечение безопасности при взаимодействии с третьими сторонами».
Мероприятия по обработке рисков:
Для риска No1 - Внедрение защитной меры. Выберите меру с высокой степенью эффективности.
Для риска No2 - Уход от риска с низкой степенью эффективности.
Для риска No3 - Передача риска со средней степенью эффективности.

Лабораторная работа 2 09.03.2021 Зачет Уважаемый , Работа зачтена. Киселев А А