Обеспечение информационной безопасности бизнеса
Шрифт:
— процессы менеджмента риска, которые высшее руководство применяло в организации (процессы менеджмента риска на корпоративном уровне, уровне отдела, подразделения, уровне бизнес-процесса), действуют надлежащим образом;
— в отношении рисков, подлежащих обработке, действия руководства организации направлены на снижение этих рисков до приемлемого уровня.
Алгоритм проведения риск-ориентированной оценки показан на рис. 61.
При
— оценить инфраструктуру менеджмента риска, например ресурсов, документации, методов, сообщения;
— оценить специфические риски;
— при необходимости пересматривать бизнес-цели и процессы менеджмента риска;
— там, где нельзя считать процессы менеджмента риска адекватными существующим рискам, оценщик должен проводить собственную оценку риска (совместно с высшим руководством) для того, чтобы идентифицировать и оценить риски, а затем сконцентрироваться на том, что деятельности, связанные с менеджментом риска, выполняются надлежащим образом;
— конечный результат оценки должен заключаться в обеспечении уверенности в том, что менеджмент риска осуществляется надлежащим образом и направлен на снижение рисков до приемлемого уровня.
На рис. 62 показана модель риск-ориентированной оценки ИБ организации.
Риск реализуется через рисковые события, создающие ущерб целям бизнеса. В свою очередь, рисковые события являются следствием сочетания факторов риска, т. е. любому рисковому событию соответствует некоторый набор факторов риска.
Измерить фактор риска — это значит установить степень соответствия состояния фактора риска некоторому состоянию rm, определяющему проявление рискового события.
Для совокупности факторов риска функция соответствия показывает
степень достижения состояний факторов риска нежелательных состояний (состояний проявления рискового события).
Для каждого фактора риска, когда и являются неслучайными (детерминированными) переменными, функция соответствия служит результатом Wij измерения, полученного с помощью выбранного метода измерения:
где i — количество оцениваемых рисковых событий,
j — количество факторов риска i-го рискового события.
Объединение результатов измерения факторов риска с целью оценивания совокупности факторов риска может быть реализовано на основании модели предпочтения на множестве факторов риска, относящихся к каждому рисковому событию.
Интерпретация оценки рисков ИБ и анализ достижения цели оценки (удовлетворения потребности) рисков ИБ завершают первый этап риск-ориентированной оценки. В соответствии с рис. 61 следующим шагом является этап оценки процессов менеджмента риска. Такая оценка может быть проведена на основании моделей оценки процессов, представленных в разделе 3.3.
4. Проблема персонала в задачах обеспечения информационной безопасности бизнеса
4.1. Общие сведения
4.1.1. Тенденции
Угрозы целям любого человеческого сообщества, исходящие от его участников, нельзя отнести к новым, появившимся в последнее время формам угроз. Такие угрозы существовали и реализовывались всегда, всегда осознавались и учитывались членами любого сообщества. Их изначальная природа погружена в сферу личностных мотивов, а также человеческих отношений [33] и не меняется многие тысячи лет. Глубинные причины внутренних происшествий в современной коммерческой организации совпадают с причинами внутренних происшествий в любом другом сообществе в истории человечества: в племени, в военном отряде, в монашеском ордене, в команде корабля.
В то же время среда существования человека и человеческих сообществ постоянно меняется в различных аспектах: социальном, культурном, экономическом, информационном. Не меняя природу человека, такие изменения среды тем не менее существенно воздействуют на пространство угроз в информационной сфере (угроз ИБ), в котором современная организация существует, пытаясь выжить и реализовать поставленные цели.
Среди наиболее важных (с точки зрения угроз ИБ от персонала) характеристик и явлений, которые присущи среде организации XXI в., отметим:
— высокий уровень конкуренции между предприятиями;
— изменчивость законодательных требований, в частности появление законодательных требований относительно обработки персональных данных, изменение норм трудового законодательства;
— открытость рынков, на которых информация имеет ключевое значение для выживания предприятия;
— высокая динамичность предприятий (быстрый рост небольших предприятий, изменчивость крупных), усложнение бизнес-процессов и изменчивость бизнес-целей;
— большой размер организационных структур и масштабов их деятельности;
— изменение трудовой культуры, текучесть кадров;
— высокие, постоянно растущие материальные ожидания персонала;
— социальная напряженность в обществе, «падение нравов»;
— уход документооборота и других операций в электронную форму;
— автоматизация деятельности, возрастание зависимости бизнеса от ИТ-услуг и качественных характеристик используемой информации, возрастание количества точек отказа, расположенных в информационных системах;