Стандарт ГОСТ Р ИСО/МЭК 27005-2010 представляет руководство по менеджменту риска информационной безопасности (ИБ) в организации, поддерживая, в частности, требования к системе менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001. Данный стандарт предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.

Глава 8 данного стандарта посвящена оценке риска информационной безопасности и включает в себя такие пункты как:

- общее описание оценки риска информационной безопасности;

- анализ риска;

- оценка риска.

Структура документа построена таким образом, что каждый пункт главы включает определенное количество подпунктов более узкой тематики в назначенной области, а также данные, определяющие обстоятельства для обращения к данному пункту.

Описание интернет-магазина «Wildberries»

В данном разделе дается краткое описание интернет-магазина «Wildberries». «Wildberries» ‑ российский международный интернет-магазин одежды, обуви, товаров для дома и других товаров. Так как структура магазина довольно сложна для того чтобы производить оценку рисков и не вся информация доступна в открытом виде, то рассматривается базовая часть структуры магазина с определенными ограничениями и предположениями.

Алгоритм работы интернет-магазина « Wildberries»

Для начала необходимо определиться с тем, какой товар пополнит ассортимент магазина, затем запросить у поставщика необходимую информацию на выбранный товар (состав, комплектация, цена и т.д.). Далее проводится первичный мониторинг цен, и вся необходимая информация о товаре заливается в систему. Согласовав заказ с поставщиком и получив от него все необходимые документы, менеджер дает добро на отгрузку товара.

После того, как поставщик доставит товар на склад, начинается второй этап. Теперь уже работники склада проверяют соответствие новой партии тем позициям, которые были заведены в системе, проверяют товар на наличие заводского брака, переупаковывают товар и наклеивают внутренние штрих-кода. В случае выявления брака, несоответствия полученного товара информации в системе или требованиям к поставкам, товар на склад не принимается. Таким способом магазин старается уберечь клиента от покупки некачественного товара и сократить количество так называемых «неправильных вложений». После этого новоиспеченная складская единица обмеряется (не забываем, что речь идет о магазине одежды), фотограф делает снимки на моделях, а старательный копирайтер пишет сопроводительный текст на сайт.

Следующий этап начинается, когда клиент заходит на сайт интернет-магазина, определяется с выбором и подтверждает свой заказ. В определенных случаях подтверждение происходит через SMS, но чаще всего клиенту перезванивает оператор. Заявки клиентов уходят на склад, на их основе формируется так называемый сборочный лист, по которому складской работник собирает необходимые товары. Собранные вещи свозятся к месту формирования заказов, на котором находится несколько десятков стеллажей с пронумерованными ячейками. После того, как весь стеллаж целиком заполнен: укомплектованные товары сортируют по машинам, которые развозят их по разным городам. Затем заказ забирает курьер и отвозит покупателю в заранее оговоренное время.

Рисунок 1. Принципиальная схема сети

Реализация оценки рисков информационной безопасности

В пункте 8.1 стандарта ГОСТ Р ИСО/МЭК 27005-2010 сказано, что оценка риска состоит из анализа риска, которое включает в себя идентификацию риска и установление значение риска, и оценку риска.

Определение активов

На основе блок-схемы предполагаемой принципиальной схемы сети (рисунок 1) интернет магазина «Wildberries» проведем описание основных активов.

1. Закупка товара у поставщика. Для начала необходимо определиться с тем, какой товар пополнит ассортимент магазина, затем запросить у поставщика необходимую информацию на выбранный товар: состав, комплектация, цена и т.д. Всем этим занимается отдел аналитики. Он включает в себя: аппаратуру для анализа данных (в данном случае используется сервер анализа данных), стационарную аппаратуру, программные средства электронные носители данных, персонал. Владельцем можно считать главу отдела аналитики.

2. Доставка на склад от поставщика . Для доставки товара от поставщика на склады привлекается аутсорсинговая транспортная компания, на которую передаются риски.

3. Хранение товара на складе . Руководство склада должно выбрать метод размещения товаров, в зависимости от способа хранения, предохранения товаров от повреждений, доступности любой ячейки склада и быстрого нахождения необходимых товаров. Для реализации этого необходим отдел логистики, склад, различное оборудование для сортировки, проверки и перемещения товаров. Отдел логистики включает в себя: сервер обработки данных, стационарную аппаратуру, электронные носители данных, персонал, база данных товаров. Владельцем актива можно считать начальника склада.

4. Формирование каталога товаров . После того как товар от поставщика поступил на склад, его необходимо занести в каталог товаров магазина. Для этого необходимо фотостудия, где его фотографируют и пишут сопроводительный текст и в конечном итоге добавляют в каталог товаров. Фотостудия включает в себя: стационарную аппаратуру, обрабатывающее оборудование, персонал. Владельцем актива можно считать главу фотостудии.

5. Размещение товара на сайте. На основе аналитики информации о пользователе и о его действиях из каталога товаров ему предлагаются товары, которые ему могут понравиться. Для реализации необходим веб-сервер, база данных товаров. Владельцем актива можно считать главного администратора.

6. Формирование заказов пользователем. Когда пользователь определился товаром и кладет ее в корзину, следующим шагом является определение способа оплаты и получения товара. После отправляет запрос на покупку выбранного товара. Если пользователь выбирает онлайн-оплату карту, то он вводит данные карты в платежную форму и эти данные передаются платежному провайдеру. Для реализации необходим веб-сервер, база персональных данных пользователей. Владельцем актива можно считать главного администратора.

7. Обработка заказа пользователя . После того как клиент отправил запрос на покупку происходит подтверждение заказа. В определенных случаях подтверждение происходит через SMS, но чаще всего клиенту перезванивает оператор. Когда заказ утвержден, центр обработки заказов посылает команду на подготовку товара к отправке. Все дальнейшие действия, происходящие с товаром, докладываются в центр обработки заказов, который в свою очередь сообщает пользователю значимые для него события (отправление товара со склада, текущее местоположение курьера и т. д.). Для реализации необходим сервер обработки заказов, почтовый сервер, база данных товаров и заказов, колл-центр, персонал. Владельцем актива можно считать главу по работе с клиентами. Владельцем актива можно считать менеджера по работе с клиентами.

8. Получение товара . У клиента имеются два способа получить товар: либо он выбирает доставку, при котором товар доставляется от склада до клиента; либо самовызов, при котором товар доставляется в пункты почтовых отделений, где она его забирает. Если клиент отказывается от товара, товар возвращается на склад. Для реализации необходим транспорт, персонал, помещения для самовывоза. Владельцем актива можно считать менеджера по работе с клиентами.