2.1 Цель занятия

Целью лабораторного занятия является формирование представления о процессе оценки рисков информационной безопасности.

2.2 Методические указания студенту

Лабораторному занятию предшествует целевая самоподготовка, на которой необходимо изучить:

– инструменты моделирования бизнес-процессов;

– способы нормирования величин.

В результате выполнения лабораторной работы каждый студент должен уметь:

– моделировать бизнес-процессы компании;

– рассчитывать риски ИБ.

2.3 Теоретическая часть

Расчёту рисков предшествует построение бизнес-модели компании. Существует множество инструментов для моделирования бизнес-процессов. В настоящей работе в приложении Б приведено описание бизнес-процесса в нотации IDEF0.

2.3.1 Бизнес-модель информационной безопасности ISACA

При описании факторов и возможных уязвимостей удобно использовать бизнес-модель информационной безопасности, разработанную ISACA. Модель представлена на рис. 2.1.

Перечень возможных активов:

1. Данные о заказах клиентов;

2. Данные о клиентах компании;