Файловый архив студентов. Файловый архив студентов.
1299 вузов, 5063 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Казанский национальный исследовательский технический университет им. А. Н. Туполева
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Diplom_v1-5.docx
Скачиваний:
0
Добавлен:
20.01.2020
Размер:
1.42 Mб
Скачать
►Содержание►

      1. Обучение работников предприятия методологии классификации объектов защиты

Любой процесс, внедряемый на предприятии, является комплексом организационных мер, предписывающих проведение работниками предприятия определенной деятельности.

Целью процедуры обучения работников предприятия методологии классификации объектов защиты является обеспечение эффективного выполнения работниками предприятия их функций в рамках деятельности по классификации объектов защиты.

В рамках процедуры обучения работников предприятия методологии классификации объектов защиты решаются следующие задачи:

  • доведение до сотрудников компании из роли, задач и обязанностей в рамках процесса классификации объектов защиты;

  • проведение аттестации сотрудников компании.

Разработка методики обучения не является предметом данной работы, так как процесс обучения сотрудников непосредственно не связан с проведением классификации объектов защиты и требует более детальной проработки.

Реализация процедуры обучения сотрудников компании методологии классификации объектов защиты должна выполняться под руководством и контролем руководителя процесса классификации объектов защиты и при участии специалистов по классификации объектов защиты. При этом допускается, что в рамках процедуры обучения сотрудников компании могут быть выделены отдельные роли, функциональные обязанности которых могут выполняться различным должностными лицами. Состав ролей, определение порядка обучения сотрудников компании методологии классификации объектов защиты целесообразно проводить с учетом специфики бизнеса компании, ее масштабов, а также территориальной и организационной структуры.

Выделим основные этапы в рамках процедуры обучения сотрудников компании методологии классификации объектов защиты.

Этап 1: разработка методических материалов и программы обучения и аттестации сотрудников компании. В рамках данного этапа на основе методики классификации объектов защиты формируется комплект методических материалов, предназначенных для различных групп сотрудников компании в соответствии с их функциональной ролью в рамках процесса классификации объектов защиты. Разрабатывается и утверждается программа обучения и аттестации сотрудников.

Этап 2: разработка плана обучения и аттестации сотрудников компании. На данном этапе определяются и утверждаются сроки проведения обучения и аттестации сотрудников компании, а также перечень ответственных лиц.

Этап 3: проведение обучения и аттестации сотрудников компании. По результатам аттестации формируется отчет руководству компании о результатах аттестации сотрудников компании методологии классификации объектов защиты.

      1. Формирование порядковой шкалы уровней критичности объектов защиты

Прежде, чем проводить работы по классификации объектов защиты, на предприятии должна быть разработана и утверждена шкала, по которой будет определяться уровень критичности для того или иного объекта в соответствии с возможным ущербом от нарушения его ИБ.

Целью процедуры формирования порядковой шкалы уровней критичности объектов защиты является установление соответствия уровней критичности объектов защиты качественным величинам возможного ущерба от нарушения ИБ объектов защиты.

В рамках процедуры формирования порядковой шкалы уровней критичности решаются следующие задачи:

  • определение видов ущерба, наступление которого критично для организации;

  • установление градации ущерба для каждого уровня критичности.

Формирование порядковой шкалы уровней критичности является ключевым методологическим аспектом внедрения процесса классификации объектов защиты. От правильного выбора пороговых значений ущерба для каждого уровня критичности зависит эффективность всей деятельности по классификации объектов защиты.

Процедура формирования порядковой шкалы уровней критичности реализуется следующим образом.

Весь ущерб, который может быть нанесен компании вследствие нарушения ИБ объектов защиты, подразделяется на виды, например:

  • нарушение требований законодательства;

  • прямой финансовый и материальный ущерб;

  • косвенный финансовый ущерб (неполученная прибыль);

  • репутационные потери;

  • кадровые потери;

  • ущерб интеллектуальной собственности.

Выделим основные этапы в рамках процедуры формирования порядковой шкалы уровней критичности.

Этап 1: определение пороговых значений ущерба от нарушения ИБ объектов защиты. Для каждого из видов ущерба определяются пороговые значения, соответствующие максимальному, среднему и минимальному уровню критичности, при этом выбор пороговых значений осуществляется в соответствии со следующими принципами:

  • максимальному уровню критичности должен соответствовать такой ущерб, наступление которого несет катастрофические последствия для организации, делает невозможным реализацию всех ее ключевых бизнес-процессов, парализует деятельность компании на длительный срок или приводит к прекращению ее существования;

  • среднему уровню критичности соответствует ущерб, наступление которого приводит к тяжелым, но не катастрофическим последствиям, то есть к таким последствиям, которые значительны для организации, но не приводят к парализации или прекращению ее деятельности;

  • минимальному уровню критичности соответствует ущерб, наступление которого незначительно для организации или к таким последствиям, которые могут быть ликвидированы имеющими ресурсами без нарушения функционирования ключевых бизнес-процессов компании.

Определение пороговых значений ущерба от нарушения ИБ объектов защиты осуществляется членами Комиссии. Пороговые значения ущерба определяются методом экспертных оценок, когда соответствие возможного ущерба различным уровням критичности устанавливается несколькими сотрудниками, входящими в состав Комиссии, в соответствии со своей компетенцией. Перечень сотрудников, ответственных за определение пороговых значений ущерба для различных уровней критичности, устанавливается Председателем Комиссии совместно с руководителем процесса классификации объектов защиты. Так, например, пороговые значения ущерба вследствие нарушения требований законодательства могут быть определены руководителями ключевых бизнес-подразделений совместно с юристами.

Определение перечня лиц, ответственных за формирование пороговых значений по каждому из видов ущерба осуществляется председателем Комиссии единолично. Для определения пороговых значений ущерба организуется совещание Комиссии. В случае принципиального расхождения позиций экспертов при определении пороговых значений ущерба, решение принимается Председателем Комиссии.

Этап 2: формирование и утверждение порядковой шкалы уровней критичности. Порядковая шкала формируется секретарем Комиссии и утверждается ее Председателем. Пример порядковой шкалы уровней критичности приведен в Таблице 2.2

  1. Таблица 2.2. Пример порядковой шкалы уровней критичности

    1. Уровень критичности

    1. Нарушение требований законодательства

    1. Прямой финансовый ущерб

    1. Косвенный финансовый ущерб

    1. Репутационные потери

    1. Кадровые потери

    1. Ущерб интеллектуальной собственности

    1. Максимальный

    1. Отзыв ключевых лицензий, многомиллионные судебные взыскания, блокирование банковских счетов.

    1. Прямой финансовый ущерб свыше 5 млн. руб.

    1. Срыв ключевых контрактов, неполученная прибыль свыше 5 млн. руб. в год

    1. Невосстановимые репутационные потери перед партнерами, клиентами. Широкий резонанс в обществе.

    1. Массовые увольнения работников компании

    1. Утрата ключевых объектов интеллектуальной собственности.

    1. Средний

    1. Крупные судебные взыскания, частичный отзыв лицензий.

    1. Прямой финансовый ущерб от 500 тыс. руб. до 5 млн. руб.

    1. Срыв крупных контрактов, неполученная прибыль от 500 тыс. руб. до 5 млн. руб. в год

    1. Серьезные репутационные потери, негативные отзывы в СМИ.

    1. Увольнение ключевых работников компании.

    1. Разглашение сведений об объектах интеллектуальной собственности компании.

    1. Минимальный

    1. Незначительные судебные взыскания или отсутствие нарушений требований законодательства.

    1. Прямой финансовый ущерб до 500 тыс. руб.

    1. Срыв незначительных контрактов или отсутствие косвенного финансового ущерба.

    1. Незначительные репутационные потери или отсутсвие влияния на репутацию компании.

    1. Увольнение рядовых сотрудников компании, незначительная кадровая напряженности.

    1. Отсутствие ущерба интеллектуальной собственности компании.

  2. Таким образом, процедура формирования порядковой шкалы уровней критичности состоит из следующих шагов:

  1. Председатель Комиссии определяет перечень членов Комиссии (далее ­– экспертов), ответственных за определение пороговых значений ущерба от нарушения ИБ объектов защиты для каждого из видов ущерба;

  2. эксперты определяют пороговые значения ущерба для максимального, среднего и минимального уровня критичности по каждому из видов ущерба;

  3. секретарь Комиссии аккумулирует результаты определения пороговых значений ущерба, фиксируя те виды ущерба, по которым у экспертов возникли принципиальные расхождения;

  4. секретарь Комиссии формирует проект документа «Порядковая шкала уровней критичности» и представляет его Председателю Комиссии;

  5. Председатель Комиссии принимает решение по спорным вопросам, связанным с определением пороговых значений уровня критичности;

  6. Председатель Комиссии корректирует пороговые значения ущерба по различным уровням критичности;

  7. секретарь Комиссии вносит правки в проект документа «Порядковая шакала уровней критичности» в соответствии с корректировками Председателя Комиссии, после чего передает ему финальную версию документа на согласование;

  8. руководитель компании утверждает проект документа «Порядковая шкала уровней критичности», после чего процедура является выполненной.

  1. Блок-схема порядка формирования порядковой шкалы уровней критичности показана на рисунке (Рисунок 2.12).

  3. Рис. 2.12. Блок-схема порядка формирования порядковой шкалы уровней критичности

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности