Книга: Обеспечение информационной безопасности бизнеса
4.2.3. Факторная модель
4.2.3. Факторная модель
Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.
Факторы риска связаны в единую сеть причинно-следственными связями. Конечным (и наиболее значимым для организации) узлом причинно-следственной сети является узел «Риски ИБ от персонала».
В факторной модели факторы риска разделены на два уровня:
— факторы риска второго уровня — сравнительно мелкие явления, которые могут отрабатываться (оцениваться, управляться) организацией по отдельности, между факторами этой группы существуют многочисленные связи, возможны циклы как положительной, так и отрицательной обратной связи;
— факторы риска первого уровня непосредственно влияют на реализацию рисков, они консолидируют влияние всего множества факторов риска второго уровня и позволяют упростить работу с моделью.
Факторы риска второго уровня необходимы в модели из-за многочисленности и сетевой структуры факторов первого уровня. Связи внутри группы факторов второго уровня отсутствуют.
Факторы риска первого уровня — это явления, которые непосредственно и наиболее сильно влияют на возможность реализации угроз ИБ от персонала в организации. Вариант системы факторов риска первого уровня приведен в таблице 11. Для факторов приведены краткие описания.
Перечисленные факторы риска первого уровня могут быть отображены (детализированы) в систему факторов риска второго уровня — более мелких (и поэтому более понятных) явлений, способствующих реализации угроз ИБ от персонала. Подготовленный нами вариант такого отображения представлен в таблице 12 и совершенно определенно не исчерпывает многогранной природы угроз ИБ от персонала. Отметим, что некоторые факторы второго уровня повторяются для нескольких факторов первого уровня, поскольку влияют на них одновременно.
Таблица 11
Продолжение табл. 11
Окончание табл. 11
Таблица 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Продолжение табл. 12
Окончание табл. 12
Как было отмечено выше, перечисленные выше факторы первого и второго уровня образуют систему причинно-следственных отношений. Возможные отношения между факторами показаны на примере фрагмента сети факторов риска ИБ от персонала, представленном на рис. 64.
Все факторы системы сплетены в огромную причинно-следственную сеть, в которой есть скрытая от наблюдения менеджмента организации часть и наблюдаемая часть. Понятно, что с точки зрения предлагаемой модели повышение защищенности в отношении угроз ИБ от персонала может быть достигнуто путем оценки и контроля со стороны организации факторов риска второго уровня. Предложенную нами систему факторов можно использовать именно таким способом, реализуя следующий план действий:
— определить состав наблюдаемых факторов и внедрить способы их измерения;
— определить состав контролируемых факторов и установить механизмы контроля;
— организовать при помощи созданных механизмов систему контроля рисков ИБ, связанных с персоналом;
— осуществлять при помощи созданной системы контроля последовательные мероприятия по приведению рисков ИБ от персонала в соответствие ожидаемому уровню.
- 4.2.1. Цели моделирования угроз
- 4.2.2. Типология инцидентов
- 4.2.3. Факторная модель
- 4.2.4. Некоторые модели угроз
- 4.2.5. Внешние сообщники внутреннего злоумышленника
- 4.2.6. Типология мотивов
- 4.2.7. Сговор
- 4.2.8. Деятельность внутреннего злоумышленника с точки зрения формальных полномочий
- Управление идентификационными данными и доступом (IBM Восточная Европа/Азия)
- 7.4. Модель системы автоматизированного проектирования защиты информации
- 5. Продукционная модель знаний
- 2.3 Модель мини-драйвера IDE
- 7.1 Общая информационная модель и стандарт WBEM
- Модель МП
- 2.1.1. Физическая и логическая модель данных
- У меня нет драйверов для звуковой карты. На самой карте модель не написана. Как найти и установить звуковой драйвер?
- 2.3. Эмпирическая модель обучения Дэвида Колба и ее применение в практике бизнес-тренинга
- 7.3.4. Сервисное постоянное представительство в Модельной Конвенции ООН
- 8.9.3. Динамическая модель системы
- Глава 3. Модель для сборки
- Знакомство с объектной моделью Excel