Книга: Обеспечение информационной безопасности бизнеса

4.2.3. Факторная модель

4.2.3. Факторная модель

Риски ИБ от персонала составляют отдельную группу рисков ИБ организации, однако спектр причин и условий их реализации очень широк. Мы предлагаем описывать риски ИБ от персонала в виде факторной модели — системы причин и условий, благоприятствующих реализации таких рисков. Общая структура факторной модели рисков ИБ от персонала представлена на рис. 63.

Факторы риска связаны в единую сеть причинно-следственными связями. Конечным (и наиболее значимым для организации) узлом причинно-следственной сети является узел «Риски ИБ от персонала».

В факторной модели факторы риска разделены на два уровня:

— факторы риска второго уровня — сравнительно мелкие явления, которые могут отрабатываться (оцениваться, управляться) организацией по отдельности, между факторами этой группы существуют многочисленные связи, возможны циклы как положительной, так и отрицательной обратной связи;

— факторы риска первого уровня непосредственно влияют на реализацию рисков, они консолидируют влияние всего множества факторов риска второго уровня и позволяют упростить работу с моделью.

Факторы риска второго уровня необходимы в модели из-за многочисленности и сетевой структуры факторов первого уровня. Связи внутри группы факторов второго уровня отсутствуют.

Факторы риска первого уровня — это явления, которые непосредственно и наиболее сильно влияют на возможность реализации угроз ИБ от персонала в организации. Вариант системы факторов риска первого уровня приведен в таблице 11. Для факторов приведены краткие описания.

Перечисленные факторы риска первого уровня могут быть отображены (детализированы) в систему факторов риска второго уровня — более мелких (и поэтому более понятных) явлений, способствующих реализации угроз ИБ от персонала. Подготовленный нами вариант такого отображения представлен в таблице 12 и совершенно определенно не исчерпывает многогранной природы угроз ИБ от персонала. Отметим, что некоторые факторы второго уровня повторяются для нескольких факторов первого уровня, поскольку влияют на них одновременно.

Таблица 11

Продолжение табл. 11

Окончание табл. 11

Таблица 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Продолжение табл. 12

Окончание табл. 12

Как было отмечено выше, перечисленные выше факторы первого и второго уровня образуют систему причинно-следственных отношений. Возможные отношения между факторами показаны на примере фрагмента сети факторов риска ИБ от персонала, представленном на рис. 64.

Все факторы системы сплетены в огромную причинно-следственную сеть, в которой есть скрытая от наблюдения менеджмента организации часть и наблюдаемая часть. Понятно, что с точки зрения предлагаемой модели повышение защищенности в отношении угроз ИБ от персонала может быть достигнуто путем оценки и контроля со стороны организации факторов риска второго уровня. Предложенную нами систему факторов можно использовать именно таким способом, реализуя следующий план действий:

— определить состав наблюдаемых факторов и внедрить способы их измерения;

— определить состав контролируемых факторов и установить механизмы контроля;

— организовать при помощи созданных механизмов систему контроля рисков ИБ, связанных с персоналом;

— осуществлять при помощи созданной системы контроля последовательные мероприятия по приведению рисков ИБ от персонала в соответствие ожидаемому уровню.

Оглавление книги