Так как произвести количественную оценку ценности для многих активов интернет-магазина является довольно сложной задачей, была выбрана качественная оценка ценности для активов в баллах от 1 до 5 (1 - Очень низкая, 2 – Низкая, 3 – Средняя, 4 – Высокая, 5 - Очень высокая). В качестве критерия оценки ценности активов будут использоваться последствия при нарушении работы процесса или при потере вторичных активов, используемых в данном процессе. Ценность основных активов представлена в таблице Таблица 1. Ценность основных активов.

Определение угроз

Определение угроз основывается на приложении C в ГОСТ Р ИСО/МЭК 27005-2010. Подходящие угрозы для интернет-магазина из данного приложения представлены в таблице Таблица 2.

Таблица 2. Угрозы для интернет-магазина

Определение существующих мер и средств контроля и управления

Для уменьшения вероятности реализации существующих угроз или уменьшения последствий от реализации угроз применяются следующие мероприятия:

При доставке груза:

1. Видеорегистраторы в транспортных средствах курьерской службы доставки.

2. Отслеживание перемещения транспортных средств при помощи GPS-трекера [5].

3. Регулярный техосмотр всех транспортных средств курьерской службы доставки.

На складе:

1. Регулярные осмотры систем пожарообанаружения и систем пожаротушения.

2. Регулярные осмотры вентиляции, состояния конструкции склада, проверка правил хранения товара.

3. Регулярный осмотр, проверка состояния оборудования.

4. Системы видеонаблюдения по контуру зданий и внутри помещений.

5. Служба охраны по контуру зданий и внутри помещений.

6. Система охранной сигнализации.

В зданиях с серверами:

1. Регулярные осмотры систем пожарообанаружения и систем пожаротушения.

2. Регулярный осмотр, проверка состояния оборудования.

3. Системы видеонаблюдения по контуру зданий и внутри помещений.

4. Служба охраны по контуру зданий и внутри помещений.

5. Система охранной сигнализации.

6. Разграничение правил доступа.

7. Доступ к серверам и базам данных для сотрудников осуществляется черезVPN.

8. Анализатор трафика системы защиты от сетевых-атак.

9. Очиститель трафика защиты от сетевых атак.

10. Межсетевой экран между клиентом и HTTP сервером.

Выявление уязвимостей

В данном разделе перечисляются уязвимости, которые могут быть использованы для нанесения ущерба активам или организации.

1. Неисправная система пожарообнаружения.

2. Неисправная система пожаротушения.

3. Неисправная электропроводка

4. Нарушение правил дорожного движения.

5. Несоблюдение правил хранения товара.

6. Нарушение правил эксплуатации оборудования.

7. Ошибки ПО.

8. Использование компонентов с известными уязвимостями.

9. Нарушение контроля доступа.

10. Недостаточное логирование и мониторинг.

Определение последствий

Перечислим сценарии возможных инцидентов и их последствия.

1. При неисправной системе пожарообнаружения при возникновении очага пожара не будет дан сигнал системе пожаротушения на его устранения и не будет произведено оповещение пожарной службы. В результате данного сценария пожар может начать распространение и уничтожить активы (склад, товары на складе).

2. При неисправной системе пожаротушения при подаче сигнала тушения пожара не будет произведено никаких действий, в результате чего пожар может распространиться и к прибытию пожарной службы пострадает значительная часть активов.

3. При нарушении правил устройства и эксплуатации электрооборудования возможно возникновение пожара, в результате чего могут быть уничтожены активы.

4. При нарушении правил дорожного движения водителем транспортного средства курьерской службы, повышается риск аварии.

5. При несоблюдении правил хранения товаров товар может потерять товарный вид, в результате чего их невозможно будет продать.

6. При нарушении правил эксплуатации оборудования, износ оборудования может наступить раньше заданного срока службы.

7. При неправильной конфигурации программного обеспечения возможна реализация угроз кражи данных, отказа в обслуживании, заражения системы.

8. При использовании компонентов с известными уязвимостями возможна реализация множество видов атак, направленных на отказ в обслуживании, компрометации системы, заражения системы.

9. При нарушении контроля доступа возможна ситуация, когда злоумышленники получают права доступа администратора или другого привилегированного пользователя.

10. При недостаточном логировании и мониторинге злоумышленники продолжительное время исследовать систему на уязвимости без какой-либо реагирования системы безопасности.

Установление значения риска

Оценка последствий

Оценка последствий сценариев инцидентов оценивается с точки зрения влияния на бизнес используя следующую шкалу от 1 до 5: 1 - Очень низкая, 2 – Низкая, 3 – Средняя, 4 – Высокая, 5 - Очень высокая.

В результате реализации угрозы пожара через уязвимость неисправной системы пожарообнаружения на территории склада в наихудшем сценарии может быть уничтожено большинство товаров на складе, что вызовет высокое влияние на бизнес.

1. В результате реализации угрозы пожара через уязвимость неисправной системы пожаротушения на территории склада в наихудшем сценарии может быть уничтожен весь товар. Влияние на бизнес очень высокое (5).

2. В результате реализации угрозы пожара через уязвимость неисправной системы пожарообнаружения на территории склада в наихудшем сценарии может быть уничтожено значительная часть товаров. Влияние на бизнес очень высокое (4).

3. В результате реализации угрозы пожара через уязвимость нарушения правил устройства и эксплуатации электрооборудования на территории склада при условии исправных систем пожарообнаружения и пожаротушения возникший очаг пожара будет быстро устранен, однако это может прервать рабочий процесс. Влияние на бизнес низкое (2).

4. В результате реализации угрозы аварии через уязвимость несоблюдения водителем транспортного средства курьерской службы доставки может пострадать, как и само транспортное средство, так и доставляемый товар. Влияние на бизнес низкое (2).

5. В результате реализации угрозы порчи товара через уязвимость несоблюдения правил хранения товаров может пострадать партия товаров. Влияние на бизнес среднее (3).

6. В результате реализации разрушения оборудования через уязвимость недостаточного технического обслуживания оборудования, может привести к тому, что оборудование невозможно будет использовать и это может привести к замедлению или остановке рабочего процесса. Влияние на бизнес среднее (3).

7. В результате реализации угрозы отказа обслуживания через уязвимость неправильной конфигурации программного обеспечения может последовать значительное снижение количества заказов даже после восстановления сервиса. Влияние на бизнес высокое (4).

8. В результате реализации угрозы кражи информации через уязвимость неправильной конфигурации программного обеспечения, в зависимости от украденной информации возможны различные последствия, включая потерю репутации. Влияние на бизнес высокое (5).

9. В результате реализации угрозы заражения системы через уязвимость неправильной конфигурации программного обеспечения могут быть различные сценарии. Влияние на бизнес очень высокое (5).

10. В результате реализации угрозы отказа обслуживания через уязвимость использования компонентов с известными уязвимостями может последовать значительное снижение количества заказов даже после восстановления сервиса. Влияние на бизнес высокое (4).

11. В результате реализации угрозы кражи данных через уязвимость использования компонентов с известными уязвимостями, в зависимости от украденной информации возможны различные последствия, включая потерю репутации. Влияние на бизнес высокое (5).

12. В результате реализации угрозы заражения через уязвимость использования компонентов с известными уязвимостями могут быть различные сценарии, влияние на бизнес можно считать высоким (4).