Моделирование безопасных информационных систем с учётом человеческого фактора как основного ресурса производства
Федеральное государственное
автономное образовательное учреждение
высшего профессионального образования
«СИБИРСКИЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»
Институт космических и информационных
технологий
Кафедра Прикладной математики и
компьютерной безопасности
РЕФЕРАТ
по Акмеологии
тема Моделирование безопасных
информационных систем с учётом человеческого фактора как основного ресурса
производства
Студент КИ 12-02б 031201569 Пивоваров М.И.
Красноярск 2014
Содержание
1. Типология Юнга
. Методика семи радикалов
. Трансактный анализ
. Обзор ГОСТ Р ИСО/МЭК 15408
. Предприятие
. Мотивационные профили
. Оценка человеческих рисков предприятия
. Изложение процессного подхода
. Краткий обзор ГОСТ Р ИСО 9001
. Перевод предприятия на процессный подход
. Триггер запуска основного бизнес-процесса
. Матрица доступа
. Угрозы информационной безопасности
. Обработка человеческих рисков
1. Типология Юнга
Одним из важных открытий Карла Густава Юнга является определение
психологических, или личностных, типов. Два основных типа, или мироотношения, -
это экстраверсия и интроверсия. Типичный экстраверт стихийно расходует свою
энергию на внешний мир и выглядит общительным; интроверт погружен в себя и
кажется порой отстраненным. Индивид является экстравертом или интровертом в
большей или меньшей степени. Обычно один из личностных типов доминирует, не
вытесняя при этом другой.
Наряду с близостью к одному из этих личностных типов в каждом человеке
проявляются доминирующие функции сознания. Юнг выделял четыре такие функции:
ощущение, интуиция, мышление и чувство. Под ощущением Юнг подразумевал данные,
обычно получаемые с помощью органов чувств. Интуиция представляет собой нечто
схожее с наитием: это - восприятие, по-видимому, спонтанно притекающее извне. И
ощущение, и интуиция, так сказать, «даны», так как они являются невольными
реакциями на один или несколько раздражителей. Это не просто различные, но
противоположные способы восприятия.
Под мышлением Юнг подразумевал психический процесс понимания или
осмысления вещей в обычном истолковании этого термина. Мы вправе считать, что
оно представляет собой «логический», или «объективный», подход к вещам. Функция
чувства сравнивает вещи, объявляя их ценными или нет, приятными или
неприятными.
Юнг выделил восемь типов личности на основе двух установок - экстраверсии
или интроверсии и четырёх функций сознания - мышления, чувства, ощущения или
интуиции:
) Экстравертный мыслительный
) Экстравертный чувствующий
) Экстравертный ощущающий
) Экстравертный интуитивный
) Интровертный мыслительный
) Интровертный чувствующий
) Интровертный ощущающий
) Интровертный интуитивный
Представим графически типы личности, расположив экстравертов в сверху, а
интровертов снизу. Рациональная часть будет справа, а иррациональная слева.
Каждой из полученных четвертей присвоим свой цвет. Экстраверт рациональный (EJ) - красный. Экстраверт
иррациональный (EP) - зелёный.
Интроверт рациональный (IJ) -
синий. Интроверт иррациональный (IP) -
жёлтый. Сенсорный тип обозначим - S, интуитивный тип - N.
Мыслящий - T, ощущающий - N. Получим:
Рис. 1
Разделим каждую четверть еще на четыре части и получим 16 типов личности
Юнга:
личность бизнес риск информационный
Рис. 2
Далее рассмотрим краткую характеристику каждого из 16 типов личности:
ISTJ
Обладают превосходным умением принять какое-либо задание, определить его,
организовать, спланировать и обеспечить его полное выполнение. Они очень
усердные работники и не позволяет препятствиям встать на пути у себя и своих
обязанностей.
Наиболее ответственный ISFJ
Они очень серьёзно относятся к своим обязанностям и можно рассчитывать,
что они все доведут до завершения. Склонны ставить потребности окружающих выше
собственных. Им необходимо учиться устанавливать, оценивать и выражать свои
потребности, если они хотят избежать обременения, которое принимается как
должное.
Наиболее лояльный INFJ
Как правило, проявляют себя в области, где они могут быть творческими и
отчасти независимыми. Они обладают естественным влечением к искусству, и многие
проявляют себя в науке, где используют свою интуицию.
Наиболее созерцательный INTJ
Живут в мире идей и стратегического планирования. Они ценят интеллект,
знания и компетентность, и в этих областях им свойственно обладать высокими
стандартами, которые они стараются неизменно претворять в жизнь. Ничуть не
меньшего они ожидают от окружающих.
Наиболее независимый ISTP
Обладают неодолимой тягой к познанию того, как работают вещи. Они хороши
в логическом анализе и с большой охотой применяют его к практическим ситуациям.
Им свойственно быть очень убедительными, пусть их и не интересуют теории и
концепции до тех пор, пока они не увидят практического применения.
Наиболее прагматичный ISFPживут в мире сенсорных возможностей. Для них важно,
как вещи выглядят, пахнут, звучат, осязаются и каковы они на вкус. Обладают
тонким эстетическим восприятием и, как правило, они хорошие художники,
необычайно одаренные в создании и сочетании вещей, сильно затрагивающих органы
чувств.
Наиболее артистичен INFP
больше остальных интуитивных чувствующих типов ориентированы на то, чтобы
сделать мир лучше. Их цель - найти смысл жизни. Какова их цель и как лучше они
могут сохранить человечность в своей жизни? Они идеалисты и перфекционисты,
которые упорно стремятся к достижению поставленных перед собой целей.
Наиболее идеалистичен INTPживут в мире теоретических возможностей. Они
видят всё в контексте того, как это могло быть улучшено или во что это можно
было бы превратить. Они живут внутри их собственного разума, и способны
анализировать сложные проблемы. Они ищут ясность во всем, и стремятся получать
и формировать знания.
Наиболее концептуальный ESTP
Коммуникабельный и меткий тип. Полные энтузиазма и легко возбудимые.
Охотно готовы взяться за любое важное дело не боясь запачкать руки. Они живут
здесь и сейчас и не придают большого значения самоанализу или теории. Взглянуть
на фактическое положение ситуации, мгновенно решить, что должно быть сделано,
исполнить, и двигаться к следующей.
Наиболее спонтанный ESFP
Живут в мире человеческих возможностей. Они любят людей и новые
впечатления. Они яркие и веселые личности, которые любят быть в центре
внимания. Получают удовольствие от волнения и драмы в своей жизни.
Наиболее великодушный ENFP
Теплые, энергичные, очень яркие и полные потенциала личности. Они живут в
мире возможностей и приходят в возбуждение и восторг от новых обстоятельств. Их
энтузиазм больше, чем у остальных типов, и дает им возможность подталкивать и
вдохновлять окружающих.
Наиболее оптимистичен ENTP
В первую очередь, заинтересованы в понимании мира, в котором живут. Они
постоянно поглощают идеи и образы ситуаций, встречающихся им в жизни. Как
правило обладают способностью предельно быстро и аккуратно окинуть взором всю
сложившуюся ситуацию.
Наиболее изобретателен ESTJ
живут в мире фактов и конкретных потребностей. Они живут настоящим и
постоянно следят за окружающей их обстановкой, чтобы быть уверенными, что всё
идет гладко и систематично.
Наиболее требовательный ESFJ
Публичные личности - любят людей и тепло интересуются ими. Они предельно
хорошо читают окружающих и понимают их точки зрения. Сильное желание нравиться,
или во всяком случае быть приятными, делает их очень чуткими к потребностям
других людей.
Наиболее гармоничный ENFJ
Личности, устремленные к людям. Они живут в мире человеческих
возможностей и обладают лучшими человеческими качествами, чем другие типы. Они
понимают людей и заботятся о них, и обладают особым талантом - находить лучшее
в окружающих.
Наиболее убедительный ENTJ
Рождены, чтобы быть лидерами. Живут в мире возможностей, видят множество
целей, которые должны быть преодолены, и хотят быть теми, кто ответит за их
преодоление. С удовольствием берут бразды правления.
Наиболее командующий
После прохождения теста я выяснил, что мой тип личности - ENTP, что
характерно зеленому цвету.
Типы и функции личности - это реакция человеческого сознания на жизнь.
Юнг не втискивал индивидуумов в узкие категории, но намечал общие тенденции или
способы бытия в мире. Подчеркивая важность осознания своих склонностей в этих
сферах, своей центральной задачей Юнг считал изучение бессознательного.
Внутри каждой личности существует личное и коллективное бессознательное.
Комплексы и восприятия, не осознаваемые индивидуумом, откладываются в личном
бессознательном. В этом смысле личное бессознательное является уникальным
достоянием каждого индивидуума и отражает его личную историю. Коллективное
бессознательное составляет основную часть души, а его содержание принадлежит
всему человечеству. Инстинкты и архетипы вместе составляют «коллективное
бессознательное». Содержание коллективного бессознательного формировалось в
течение бесчисленных поколений человеческого опыта (например боязнь темноты).
Архетипы - врожденные идеи или воспоминания, которые предрасполагают
людей воспринимать, переживать и реагировать на события определенным образом.
Примеры архетипов: анима (бессознательное женское в мужчине), анимус
(бессознательное мужское в женщине), персона (маска, проявление в отношении с
другими людьми), тень (подавленное, противоположность тени), самость
(внутренний стержень).
2. Методика семи радикалов
Данная методика была разработана В.В. Пономаренко на
основе учения психологов о свойствах характера. Свои названия радикалы получили
от используемых в психиатрии терминов, характеризующих то или иное психическое
расстройство личности.
Однако радикалы, или, как их еще называют,
акцентуации, - это только особенности личности, при которых отдельные черты
характера чрезмерно усиленны. Это приводит к склонности человека применять одни
и те же стратегии поведения в разных ситуациях, выбирать более подходящий стиль
в одежде и аксессуарах.
Суть методики состоит в том, что по внешним признакам
(визуальная психодиагностика) можно определить составляющие характера -
радикалы. Таким образом, в режиме реального времени, без применения тестов
можно увидеть психологические и коммуникативные особенности партнера по его
поведению, по манере строить общение и даже по внешнему виду собеседника.
радикалов характера: Паранойяльный (целеустремленный),
Истероидный (демонстративный), Эпилептоидный (бывает 2х видов: застревающий и
возбудимый), Шизоидный (странный), Гипертимный (жизнерадостный), Эмотивный
(чувствительный), Тревожный (боязливый). Разберем каждый радикал более
подробно.
) Паранойяльный (целеустремленный)
Это обычно люди с мощным внутренним стержнем. Живут, в
основном, своей идеей, борются за нее, страдают, отстаивают. Они не
восприимчивы к информации со стороны. Прислушиваются только к своему мнению
(«Одно мое, второе неправильное…»), это часто выливается в нежелание слушать
других, приводит к стремлению избегания проблем. Люди паранойяльного типа
стратеги, но не тактики. Их цели глобальны, а масштабы огромны. Именно такого
типа люди упорно идут к, казалось бы, недостижимой для других цели. Жизнь таких
людей построена на принципах, что позволяет им спокойно идти по головам.
Основной принцип, по которому они живут: «Кто не с нами, тот против нас».
Склонны врать в рамках идеи, важным считают только конечный результат, а для
достижения цели, как известно, все средства хороши. Требовательны к себе и
другим и всегда оценивают достоинства и недостатки собеседника. Обычно люди с
паранойяльным радикалом не чувствительны к стрессам. Это, безусловно, сильный
тип личности.
Одежда: Для людей паранойяльного типа характерны
опрятность, классический стиль одежды в рабочее время, и стиль «милитари» в
свободное время. Обычно в данном стиле нет ничего лишнего, все аксессуары «к
месту».
Мимика: Властная, уверенная.
Жесты: Широкие, рубящие, указующие. Такие люди склонны
часто рвать дистанцию с собеседником, чтобы ввести его в замешательство.
Речь: Уверенная. Возможен менторский тон. Такие люди
любят говорить на интересующие только их темы. Они последовательны в изложении
(во-первых, во-вторых…) и часто используют жесткие формулировки, слова и
оценки.
2) Истероидный (демонстративный)
Истероидный радикал способствует желанию нравиться.
Такие люди часто представляют себя как наделенных актерским даром. Жизнь для
них - театр, а окружающие - зрители. От этого они ведут себя демонстративно и
стремятся быть замеченными. В общении можно наблюдать манерность и излишнюю
говорливость. Обычно истероиды верят в сказанное, несмотря на возможную
недостоверность или несоответствие. Это результат желания приукрасить любой
рассказ. Иногда бывает достаточно просто слушать и «несостыковки» сами
проявятся. Такой человек использует любую возможность высказаться. Это слабый
тип личности.
Одежда: Часто «вызывающая», либо яркая, либо с
экстравагантными деталями, дополняется большим количеством бижутерии,
аксессуаров и густым макияжем у женщин. У мужчин можно увидеть чрезмерное
наличие украшений, или любые другие бросающиеся в глаза детали внешнего вида.
Например, шейный платок, обилие колец и др.
Мимика: Все эмоции на лице людей с преобладающим
истероидным радикалом выглядят гипертрофированно. Это широкие улыбки, смех с
раскрытым ртом, печаль со слезами, вселенская скорбь.
Жесты: Преобладают широкие, картинные жесты и
акцентированные позы.
Речь: Эмоциональная и экспрессивная, с драматическими
паузами.
3) Эпилептоидный (застревающий)
Одна из разновидностей людей с преобладающим
эпилептоидным радикалом - эпилептоид застревающий. Это обозначает, что в силу
своих особенностей такой человек ригиден, плохо переключается с одного на
другое. Часто это люди системные, пунктуальные, неторопливые, прагматичные. Для
них важна подготовка, если предстоит какое-либо решение. У них все всегда
должно быть на своих местах. Данная категория людей нетерпима, когда
кто-тоизменяет его порядок. Такие люди привыкли планировать и все записывать.
Жизненный принцип застревающего эпилептоида «Мой дом - моя крепость». Контакты
как правило устанавливаются застревающими плохо.Со стороны может показаться,
что это угрюмый или даже злобный человек. Также застревающие исключительно
разборчивы при выборе друзей. Однако, если такой человек назвал Вас другом, то
никогда не предаст и в случае необходимости пожертвует всем ради Вас.
Эпилептоид любит свое дело, очень редко меняет работу. Его социальный ориентир
- это семья.
Мимика: Взгляд прямой, уверенный, иногда собеседнику
может показаться тяжелым. Эмоциональные всплески редки и незначительны.
Жесты: Четкие, выверенные.
Речь: Вялая, медленная.
3) Эпилептоидный (возбудимый)
Данная разновидность людей с ярко выраженным эпилептоидным
радикалом определяет категорию жестких, жестоких людей. Они могут заниматься
спортом, или принимать участие в соревновательной деятельности. Возбудимые
эпилептоиды, также как и застревающие, зачастую, опрятны и аккуратны,
наблюдается любовь к гигиене. Такие люди любят короткие стрижки, короткие
ногти, спортивный стиль в одежде. Они как будто всегда готовы вступить в бой.
Также можно заметить любовь к порядку и иерархии, нередко циничность к
окружающим. Такие люди слепо верны инструкциям. Их принцип «Я выполнял
приказ…». В средствах достижения целей возбудимые не разборчивы и легко
обвиняют других, в том числе ложно, словно испытывая на прочность. В отличие от
застревающих эпилептоидов, это люди непредсказуемые и импульсивные в решениях.
Они стремятся к достижению только своих личных целей, а ко всему остальному
относятся по принципу «Не грузи…». Склонны к асоциальным поступкам,
алкоголизму, наркомании. Это сильный тип личности.
Одежда: Возбудимый эпилептоид выражается через
спортивный стиль в одежде.
Мимика: Взгляд прямой, агрессивный, мимика чаще мелкая
и скованная.
Жесты: Тяжеловесные, с подчеркнутым участием мышц
(поигрывает мускулами). Это грубая демонстрация силы.
Речь: Вялая, медленная, жесткая.
4) Шизоидный (странный)
У данной категории людей собственные представления о
реальности, свое собственное видение ситуаций. Это люди, имеющие свой личный
мир, где они сами решают, каким законам подчиняться. Им присуще творчество без
шаблонов и непредсказуемое поведение. Это ярко выраженные интроверты. Их особенность
в том, что они «Не как все». Часто отличаются несуразной внешностью. Это либо
кажущиеся хрупкими люди, либо нескладные, где-то гротескные, местами неловкие,
внешне угловатые. Это слабый тип личности.
Одежда: Часто их одежда негармонична, может быть
неаккуратна и «пестрить» неожиданными деталями. В отличие от истероидного типа,
у шизоидов нет четкого «образа».
Мимика: Характерный взгляд «мимо собеседника в
никуда…» и возможно рассогласование мимики и жестов (например, на лице радость,
а кулаки сжаты).
Жесты: Также угловатые и несогласованные, неловкие.
Речь: Достаточно высокоинтеллектуальная, с обилием
терминологии, возможно с указанием на различные источники получения информации.
5) Гипертимный (жизнерадостный)
Этот психотип характеризует энергичных людей, любящих
жизнь во всех проявлениях. Такие люди зачастую оптимистичны и склонны в любой
ситуации находить положительные стороны. Они рады всему новому и никогда не
унывают. На контакты идут с удовольствием, любят общаться. Им присуще остроумие
и адекватное чувство юмора. Такой человек берется сразу за несколько задач и
решает их. Также данный психотип отличает гибкость и быстрая переключаемость с
одного дела на другое. Гипертимы чаще предпочитают экстремальный отдых. Это
сильный тип личности.
Одежда: Универсальная, удобная, не сковывающая
движений.
Мимика: Живая, жизнерадостная, энергичная.
Жесты: Бодрые, быстрые. В движениях гипертим непоседа,
часто роняет вещи, натыкается на углы и людей.
Речь: Увлеченная. Такие люди могут заговориться и
упустить нить разговора, но потом неожиданно вернуться к теме.
6) Эмотивный (чувствительный)
Эмотивный радикал присущ категории людей, отличающихся
ярко выраженной добротой. Такие люди привыкли сопереживать. Они в разговоре
обычно внимательно слушают и выказывают понимание. Это эмоционально пассивные
люди, любящие наблюдать за чужими переживаниями, нежели переживать самому.
Эмотивы любят смотреть телевизионные передачи, фильмы с эмоциональными сценами,
читают книги, которые вызывают острые эмоции. Наблюдается склонность к
избеганию конфликтов, возможны психосоматические проявления, которые на фоне
стресса усиливаются. Это слабый тип личности.
Одежда: Мягкая, приятная на ощупь, скрадывающая
движения или просто удобная.
Мимика: Слабая, неуверенная. Таких людей может отличить
эффект «Влажных глаз».
Жесты: Плавные, без угловатости, могут во время беседы
поглаживать себя.
Речь: Тихая. Такие люди больше готовы слушать, они
почти не возражают, врут редко.
7) Тревожный (боязливый)
Для людей с выраженным тревожным радикалом характерны
повышенная тревога, постоянная перестраховка от ошибок. Такие люди часто не
могут сами принимать решения. Они стараются закрываться от общения, при
контактах сильно волнуются. Имеют свои успокаивающие ритуалы (например,
вытереть ноги, поплевать через плечо, перед приступлением к работе ежедневно
пьют кофе «чтобы вработаться»). Они пунктуальны и следуют инструкциям, во
избежание штрафных санкций. Это сдержанные в высказываниях и поступках люди. Их
принцип «Семь раз отмерь, один отрежь». Это слабый тип личности.
Одежда: Неяркая, закрытая. Предпочтительны темные и
серые однотонные или с мелким геометрическим рисунком ткани.
Мимика: Слабая, неуверенная.
Жесты: Самоуспокаивающие. Тревожный часто трогает
себя, заламывает руки. Позы у таких людей скованные, словно в ожидании, что
вот-вот надо «сорваться» с места и бежать.
Речь: Тихая, неуверенная. Боязнь сказать не то.
Исходя из своих ощущений предположу, что мой ведущий
радикал - гипертимный, а второй - истероидный.
. Трансактный анализ
Трансактный анализ - направление психологии, основанное Эриком Берном
(США, 1955 г.). В основе трансактного анализа лежит философское предположение о
том, что каждый человек будет "в порядке" тогда, когда он будет сам
держать свою жизнь в собственных руках и сам будет за нее нести
ответственность. Э. Берн выделяет следующие три составляющие личности человека,
которые обусловливают характер общения между людьми: родительское, взрослое,
детское. Подробное описание этих составляющих можно увидеть в таблице:
Таблица 1
|
Инстанция Я
|
Типичные способы поведения, высказывания
|
|
Родитель
|
Заботливый родитель
|
Утешает, исправляет, помогает "Это мы сделаем"
"Не бойся" "Мы все тебе поможем"
|
|
Критический родитель
|
Грозит, критикует, приказывает "Опять ты опоздал на
работу?" "У каждого на столе должен быть график!"
|
|
Взрослый
|
Собирает и дает информацию, оценивает вероятность,
принимает решения "Который час?" "У кого же может быть это
письмо?" "Эту проблему мы решим в группе"
|
|
Ребенок
|
Спонтанный ребенок
|
Естественное, импульсивное, хитрое, эгоцентричное поведение
"Это дурацкое письмо у меня уже третий раз на столе" "Вы это
сделали просто замечательно!"
|
|
Приспосабливающийся ребенок
|
Беспомощное, боязливое, приспосабливающееся к нормам,
уступчивое поведение "Я бы с радостью, но у нас будут неприятности"
|
|
Бунтующий ребенок
|
Протестующее, бросающее вызов поведение "Я это делать
не буду!" "Вы этого сделать не сможете"
|
Из этого можно сделать вывод, что самый нежелательный тип - ребёнок,
потому что он либо найдет способ не выполнять свою работу, либо будет
требовать, чтобы все было так, как он хочет. Из этого следует то, что людей
типа «ребёнок» не рекомендуется брать на какую-либо должность в свое
предприятие.
. Обзор ГОСТ Р ИСО/МЭК 15408
ГОСТ Р ИСО/МЭК 15408 является стандартом, определяющим инструменты оценки
безопасности информационной системы и порядок их использования. Он содержит
методы и средства обеспечения безопасности, а также критерии оценки
безопасности информационных технологий.
Стандарт состоит из трех частей:
) Введение и общая модель. Эта часть устанавливает общий подход к
формированию требований безопасности и оценке безопасности. На их основе
разрабатываются основные конструкции (профиль защиты и задание по безопасности)
представления требований безопасности в интересах потребителей, разработчиков и
оценщиков продуктов и систем ИТ.
) Функциональные требования безопасности. Данная часть содержит
универсальный каталог функциональных требований безопасности и предусматривает
возможность их детализации и расширения по определенным правилам.
) Требования доверия к безопасности. Третья часть включает
систематизированный каталог требований доверия, определяющих меры, которые
должны быть приняты на всех этапах жизненного цикла продукта или системы ИТ для
обеспечения уверенности в том, что они удовлетворяют предъявленным к ним
функциональным требованиям.
ГОСТ Р ИСО/МЭК 15408 используется в качестве руководства при разработке
или приобретении продуктов или систем, предназначенных для защиты ИТ.
5. Предприятие по производству пива
Миссия: Дарить радость людям
Цель: Производство пива
Задачи:
) Разработка технологических решений производства и пива
) Получение лицензии
) Приобретение территории, строительство цехов, закупка
оборудования и материалов
) Наем квалифицированных сотрудников
) Производство пива
) Обеспечение безопасности
Структура предприятия:
Рис. 3
В таблице ниже для всех элементов предприятия расписаны задачи,
необходимые качества и соответствующие им сектора (цвета).
Таблица 2
|
Задачи
|
Необходимые качества
|
Сектор
|
|
Заместитель директора
|
При необходимости исполняет обязанности генерального
директора, а также разделяет полномочия для эффективной работы руководящего
состава предприятия.
|
Лидер, коммуникабельный, ответственный, исполнительный
|
Красный
|
|
Коммерческий директор
|
Руководство отделом продаж и отделом маркетинга и рекламы
|
Лидер, коммуникабельный, ответственный
|
Красный
|
|
Отдел продаж
|
Прием заказов, Расширение клиентской базы, территориальное
расширение
|
Инициативный, коммуникабельный, предприимчивый
|
Зеленый
|
|
Отдел маркетинга и рекламы
|
Продвижение продукта производства, определение
маркетинговой политики предприятия, реклама
|
Креативный, коммуникабельный, предприимчивый
|
Зеленый
|
|
Начальник производства
|
Руководство отделом производства, отделом технического
контроля и отделом разработки
|
Лидер, требовательный, ответственный, авторитетный
|
Красный
|
|
Отдел разработки
|
Развитие технологий производства и пива, проектирование
новых сортов и оптимизация старых, внедрение продукта
|
Педантичный, усидчивый
|
Синий
|
|
Отдел технического контроля
|
Контроль качества готового пива, проведение дегустации,
обеспечение аттестаций качества продукта, получение/подтверждение необходимых
знаков качества и лицензий
|
Педантичный, усидчивый
|
Синий
|
|
Отдел производства
|
Закупка материалов, контроль производственной линии,
контроль соблюдения мер технической безопасности, контроль состояния
оборудования
|
Педантичный, усидчивый
|
Синий
|
|
Системный администратор
|
Руководство отдела IT
|
Лидер, коммуникабельный, ответственный
|
Красный
|
|
Отдел IT
|
Внедрение, контроль информационных систем и их поддержка,
развитие
|
Педантичный, усидчивый
|
Синий
|
|
Служба безопасности
|
Физическая, информационная безопасность
|
Авторитетный, требовательный
|
Красный
|
|
Финансовый аналитик
|
Анализ и оценка финансового состояния предприятия,
прогнозирование финансовых показателей, поддержка ликвидности и
рентабельности предприятия, анализ эффективности работы предприятия
|
Наблюдательный, восприимчивый
|
Желтый
|
|
Отдел кадров
|
Набор квалифицированных сотрудников, увольнение
неквалифицированных , продвижение и распределение кадров
|
Проницательный, коммуникабельный, внимательный
|
Красный
|
|
Бухгалтерия
|
Расчет зарплат, расходов, закупок, продаж, налоги и прочее
|
Внимательный, усидчивый
|
Синий
|
. Мотивационные профили
Чтобы сотрудник был максимально мотивирован, его желания и возможности
должны совпадать с возможностями и требованиями, которые может предоставить
предприятие. Для этого составим мотивационные профили всех сотрудников
предприятия.
Для начала распишем мой мотивационный профиль, который соответствует
действительности:
Таблица 3
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Карьерный рост; достойная заработная плата; удовольствие от
работы
|
Надеюсь, высшее образование в сфере защиты информации
|
График “день
через день”
|
10 лет
|
Аудит, проверка систем безопасности в соответствии с
требованиями, администрирование систем безопасности.
|
Находчивость; приспособленность к широкому кругу задач;
способность импровизировать и находить креативные решения
|
Временами безответственный; не терплю кропотливой работы
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 60000р. Профессиональный рост
|
Наличие профессионального образования в сфере рекламы,
маркетинга
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
10 лет
|
Специалист по защите информации
|
ENTP
|
ENTP
|
Далее по предприятию.
Таблица 4 Коммерческий директор
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере маркетинга и рекламы.
|
Стабильный рабочий график
|
10 лет
|
- управление отделами продаж и маркетинга и рекламы.
|
- лидерские способности - ответственность - убедительность
|
- не замечает неприятностей
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 100000р. Профессиональный рост
|
Наличие профессионального образования в сфере рекламы,
маркетинга.
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
10 лет
|
- руководитель отдела продаж, отдела маркетинга и рекламы.
|
ENFJ
|
ENFJ
|
Таблица 5 Отдел продаж:
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере маркетинга и рекламы.
|
Свободный график
|
5 лет
|
продвижение продукта; продажа продукта; оценка рынка
|
Коммуникабельность; презентабельность;
креативность
|
неусидчивость
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 50000р. Профессиональный рост
|
Наличие профессионального образования в сфере рекламы,
маркетинга.
|
Свободный график
|
5 лет
|
сотрудник отдела продаж;
|
ENTP
|
ENTP
|
Таблица 6 Отдел рекламы и маркетинга
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере маркетинга и рекламы.
|
Свободный график
|
5 лет
|
рекламирование продукта;
|
коммуникабельность; креативность
|
неусидчивость
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 50000р. Профессиональный рост
|
Наличие профессионального образования в сфере рекламы,
маркетинга.
|
Свободный график
|
5 лет
|
сотрудник отдела маркетинга и рекламы
|
ENFP
|
ENFP
|
Таблица 7 Начальник производства:
|
Мотив
|
Знания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее техническое образование в сфере автотранспорта
|
Стабильный рабочий график
|
10
лет
|
управление отделами производства, технического контроля и
разработки
|
лидерские качества; высокая требовательность; упорство;
результат
|
грубость к подчиненным
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 150000р. Профессиональный рост
|
Наличие высшего образование в сфере автотранспорта.
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
10 лет
|
руководитель производства
|
ESTJ
|
ESTJ
|
Таблица 8 Производство (отдел разработки, отдел технического контроля,
отдел производства)
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование по специальности «Биотехнологии
бродильных производств»
|
Стабильный рабочий график
|
5 лет
|
создание новых сортов пива; Производство; Контроль качества
|
Усидчивость;
педантичность
|
трудное переключение с задачи на задачу
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 60000р. Профессиональный рост
|
Высшее образование по специальности «Биотехнологии
бродильных производств»
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
5 лет
|
создание новых сортов пива; Производство; Контроль качества
|
ISTJ
|
ISTJ
|
Таблица 9 Системный администратор
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее техническое образование в сфере IT
|
Стабильный рабочий график
|
10 лет
|
управление IT отделом
|
лидерские качества; ответственность
|
Заносчивость
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 60000р. Профессиональный рост
|
Наличие высшего образования в сфере IT.
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
10 лет
|
руководство IT отделом
|
ESTJ
|
ESTJ
|
Таблица 10 IT отдел
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее техническое образование в сфере IT
|
Стабильный рабочий график
|
5 лет
|
администрирование баз данных; обеспечение стабильности
работы вычислительных систем
|
Внимательность; ответственность;
усидчивость
|
трудное переключение с задачи на задачу
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 40000р. Профессиональный рост
|
Наличие высшего образования в сфере IT.
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
5 лет
|
администрирование баз данных; обеспечение стабильности
работы вычислительных систем
|
ISTJ
|
ISTJ
|
Таблица 11 Аналитик
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере экономики и менеджмента
|
Свободный график
|
10 лет
|
анализ и оценка финансового состояния предприятия;
прогнозирование финансовых показателей; поддержка ликвидности и
рентабельности предприятия; анализ эффективности работы предприятия
|
Наблюдательность; восприимчивость
|
необязательность
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 90000р. Профессиональный рост
|
Высшее образование в сфере экономики и менеджмента.
|
Свободный график
|
10 лет
|
анализ и оценка финансового состояния предприятия;
прогнозирование финансовых показателей; поддержка ликвидности и
рентабельности предприятия; анализ эффективности работы предприятия
|
ISFP
|
ISFP
|
Таблица 12 Служба безопасности
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере экономической или информационной
безопасности
|
Стабильный рабочий график
|
5 лет
|
обеспечение безопасности предприятия
|
высокая требовательность упорство результат лидерские
качества
|
заносчивость
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 60000р. Профессиональный рост
|
Высшее образование в сфере экономической или информационной
безопасности
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
5 лет
|
обеспечение безопасности предприятия
|
ESTJ
|
ESTJ
|
Таблица 13 Бухгалтерия
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере бух. учета
|
Стабильный рабочий график
|
10 лет
|
бух. учет
|
усидчивость;
педантичность; внимательность
|
трудное переключение с задачи на задачу
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 60000р. Профессиональный рост
|
Высшее образование в сфере бух. учета
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
10 лет
|
бух. учет
|
ISTJ
|
ISTJ
|
Таблица 14 Отдел кадров
|
Мотив
|
Знания
|
Ожидания
|
Время работы
|
Вид деятельности
|
Сильные стороны
|
Слабые стороны
|
|
Личный рост и удовлетворение амбиций
|
Высшее образование в сфере кадров
|
Стабильный рабочий график
|
10 лет
|
подбор кадров; увольнение кадров; продвижение кадров;
|
высокая требовательность; проницательность; коммуникабельность
|
Заносчивость
|
|
Стимул
|
Инструкция
|
Регламент
|
Время работы
|
Необходимая деятельность
|
Психотип
|
Психотип
|
|
З/п от 40000р. Профессиональный рост
|
Высшее образование в сфере кадров
|
Рабочий день с 9:00 до 18:00 Обед с 13:00 до 14:00
|
10 лет
|
подбор кадров; увольнение кадров; продвижение кадров
|
ESTJ
|
ESTJ
|
7. Оценка человеческих рисков предприятия
Человеческие риски рассчитываются по уравнению компетенции:
ЧР = Д + О + ОР - низкие человеческие риски
ЧР = Д - О - ОР - средние человеческие риски
ЧР ≠ Д + О + ОР - высокие человеческие риски
Здесь ЧР - человеческие риски, Д - деятельность, О - образование, ОР -
опыт работы.
Если человек предрасположен к своей будущей или нынешней должности, имеет
опыт работы и необходимое образование, то человеческие риски предприятия
снижаются. Если человек предрасположен к должности, но его образование и опыт
работы не соответствуют необходимым нормам, то риски предприятия средние. Если
человек обладает соответствующим образованием и имеет требуемый опыт работы, но
человек не предрасположен к своей должности, то человеческие риски растут.
На деле не всегда есть возможность заполучить предрасположенного к нужной
деятельности и имеющего опыт работы и соответствующие образование, поэтому
сотрудников, не имеющих опыта работы и образования, следует обучать и
стажировать, дабы снизить риски.
. Изложение процессного подхода
В процессном подходе весь бизнес-процесс разбивается на несколько
самостоятельных подпроцессов. Каждый процесс будет включать входы и выходы,
которые являются определенными ресурсами. Процессный подход представляет собой
взаимосвязанные процессы, образующие весь бизнес-процесс предприятия. Во главу
каждого процесса ставится управляющий, который будет отвечать за него.
Процессы, образующие бизнес-процесс, функционируют по принципу PDCA (Plan, Do, Control, Analyze), что значит «планируй», «делай»,
«контролируй», «анализируй». На этапе планирования происходит постановка целей
и задач. На этапе «делай» происходит внедрение или осуществление процесса. На
этапе контроля происходит проверка конечного результата по каким-либо
параметрам. На этапе анализа делаются выводы о процессе для его улучшения.
Плюсы процессного подхода:
) Эффективность
) Каждый процесс нацелен на достижение результата
) Каждому звену всего бизнес-процесса соответствуют определенные
функции и задачи
Недостатки:
) При выпадении звена рушится вся система.
9. Краткий обзор ГОСТ Р ИСО 9001
Стандарт «Системы менеджмента качества. Требования» предлагает
стратегические решения организации помогающие создать эффективную систему
менеджмента качества. ГОСТ Р ИСО 9001 нацелен на применение «процессного
подхода». Ниже представлена схема, приведенная в стандарте, которая описывает
модель системы менеджмента качества, основанную на процессном подходе (см. рис.
1).
Рис. 4 - Модель системы менеджмента качества.
На схеме видно, что процессы в ней работают по принципу PDCA. Также можно увидеть процессный
подход, изложение которого представлено выше.
10. Перевод предприятия на процессный подход
Основные процессы предприятия:
1) Планирование политики предприятия.
) Оценка рынка.
) Установка требований к новому сорту.
) Определение сотрудников, вовлеченных в процесс.
) Разработка нового сорта.
) Производство пива.
) Проверка качества пива.
) Проверка оборудования.
) Анализ рентабельности сорта и предприятия в целом.
) Переход на пункт 1.
Распределим эти процессы по этапам PDCA:
«Планируй»: 1, 2, 3, 4.
«Делай»: 5, 6.
«Контролируй»: 7, 8.
«Анализируй»: 9.
Теперь обозначим отделы и ответственных за этап цикла PDCA, вовлеченных в основные процессы и
этапы цикла:
Таблица 15
|
Коммерческий директор
|
1, 2, 3.
|
P
|
|
Отдел продаж
|
2.
|
P
|
|
Отдел маркетинга и рекламы
|
1.
|
P
|
|
Начальник производства
|
5, 6, 7, 8.
|
D+C
|
|
Отдел технического контроля
|
7, 8.
|
C
|
|
Отдел разработки
|
5.
|
D
|
|
Отдел производства
|
6.
|
D
|
|
Аналитик
|
9.
|
A
|
|
Отдел кадров
|
4.
|
P
|
Здесь представлены участники основных процессов необходимых для
функционирования предприятия. Этап «планируй» включает в себя коммерческого
директора, отдел продаж, отдел маркетинга и рекламы и отдел кадров. За этот
этап ответственность несет коммерческий директор. Этап «делай» включает в себя
начальника производства, отдел разработки, отдел производства. Ответственным за
него является начальник производства. В этап «контролируй» входят начальник
производства, отдел технического контроля. Ответственным за него является
начальник производства. В этап «анализируй» входит только аналитик.
Составляем процессную схему предприятия:
Рис. 5
Сплошной линией обозначен этап «делай» (основной процесс). Вокруг него
строятся остальные процессы. Доступ к нему имеет только процесс планирования.
Информационный ресурс доступен для чтению. Доступ к человеческому ресурсу
получают только те, кто непосредственно вовлечен в данный процесс. Общий ресурс
недоступен. На вход разработки поступают следующие ресурсы: технические
требования и время. Далее после разработки на производство поступают
необходимые данные для производства пива (рецепты и прочее). На шину входа
производства поступают материалы для производства, оборудование и прочие
ресурсы. Следующий процесс осуществляет этап «контролируй». Информационный
ресурс доступен только для чтения. Доступ к человеческому ресурсу получают
только те, кто непосредственно вовлечен в данный процесс. Общий ресурс
недоступен. От предыдущего этапа поступает готовое пиво и оборудование, которые
необходимо проверить. Если пиво прошло контроль качества, то оно идет на
продажу.
. Триггер запуска основного бизнес-процесса
Чтобы лучше понять основной бизнес-процесс, рассмотрим его триггер
запуска.
Рис. 6
Для безопасности предприятия нужен триггер запуска. Основной
бизнес-процесс не запустится, который необходим для предприятия, если на
практике параметры триггера не будут соблюдены. Значит необходимо указать,
какие ресурсы нужны для запуска процесса и в какую единицу времени. Обозначим
за t - время разработки. Соответственно,
один раз получив задание и один раз человеческий ресурс, запускается разработка
нового сорта, на выходе которого получаются рецепты. Они отправляются на
информационный ресурс. Отдел производства с помощью матрицы доступа обращаются
к информационному ресурсу. Один цикл производства пива обозначим Т. Тогда в
течение всего дня, через каждые промежутки времени на вход производства
подаются материалы, необходимые для каждого этапа производства.
. Матрица доступа
Выше я затронул понятие матрицы доступа. То есть, сотрудники предприятия
обращаются к информационному ресурсу через матрицу доступа. Права в матрице
доступа будут определятся в зависимости от того, к какому процессу относится
тот или иной сотрудник. Для начала обозначим информационные ресурсы на
предприятии.
) Бизнес-план
) Система электронного документооборота
) Система работы с клиентами
) Сервер безопасности
) Система видеонаблюдения
) База данных рецептов
) База данных нормативно-методической документации
) 1С: Бухгалтерия
) 1С: Кадры
) Интернет
11) Web-сервер
Составим матрицу доступа.
Таблица 16
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
|
Ген. Дир.
|
+
|
+
|
r
|
r
|
r
|
r
|
+
|
r
|
r
|
+
|
r
|
|
Комм. Дир.
|
+
|
rw
|
+
|
-
|
-
|
r
|
r
|
r
|
rw
|
r
|
|
Отдел продаж
|
rw
|
rw
|
rw
|
-
|
-
|
-
|
r
|
r
|
-
|
rw
|
rw
|
|
Отдел маркетинга и рекламы
|
rw
|
rw
|
rw
|
-
|
-
|
-
|
r
|
rw
|
r
|
-
|
+
|
|
Начальник производства
|
rw
|
rw
|
-
|
-
|
-
|
rw
|
rw
|
r
|
r
|
-
|
r
|
|
Отдел разработки
|
r
|
r
|
-
|
-
|
-
|
+
|
r
|
-
|
-
|
-
|
r
|
|
Отдел производства
|
r
|
r
|
-
|
-
|
-
|
r
|
r
|
-
|
-
|
-
|
r
|
|
Отдел технического контроля
|
r
|
r
|
-
|
-
|
-
|
r
|
rw
|
-
|
-
|
-
|
r
|
|
Сис. Админ.и ITотдел
|
-
|
+*
|
+*
|
-
|
-
|
+*
|
+*
|
+*
|
+*
|
+*
|
+*
|
|
Аналитик
|
+*
|
+*
|
+*
|
-
|
-
|
-
|
r
|
+*
|
+*
|
rw
|
+*
|
|
СБ
|
-
|
+*
|
+*
|
+
|
+
|
+*
|
+*
|
+*
|
+*
|
+*
|
+*
|
|
Бухгалтерия
|
r
|
rw
|
r
|
-
|
-
|
-
|
rw
|
+
|
r
|
-
|
r
|
|
Отдел кадров
|
r
|
rw
|
-
|
-
|
-
|
-
|
r
|
-
|
+
|
+*
|
r
|
- - нет доступа
+ - полный доступ
r -
чтение
w -
запись
+* - доступ в рамках полномочий, которые описаны в
нормативно-методической документации
. Угрозы информационной безопасности
В настоящее время оценка рисков представляет собой одно из наиболее
актуальных и динамично развивающихся направлений в области информационной
безопасности. Существуют различные методологии оценки риска. Мы будем
использовать методологию OCTAVE.
Метод OCTAVE (Operationally Critical Threat, Assetand Vulnerability
Evaluation) была разработана в Институте программной инженерии при Университете
Карнеги-Меллона и предусматривает активное вовлечение владельцев информации в
процесс определения критичных информационных активов и ассоциированных с ними
рисков. Метод OCTAVE - это метод оперативной оценки критических угроз, активов
и уязвимостей.
Метод OCTAVE - это трехэтапный подход оценки рисков информационной
безопасности.
На первой стадии осуществляется оценка организационных аспектов.
Здесь же осуществляется определение наиболее важных организационных
ресурсов и оценка текущего состояния практики обеспечения безопасности в
организации. На завершающем этапе первой стадии определяются требования безопасности,
и строится профиль угроз для каждого критического ресурса.
На второй стадии проводится высокоуровневый анализ ИТ-инфраструктуры
организации, при этом обращается внимание на степень, с которой вопросы
безопасности решаются и поддерживаются подразделениями и сотрудниками,
отвечающими за эксплуатацию инфраструктуры.
На третьей стадии проводится разработка стратегии обеспечения
безопасности и плана защиты информации. Этот этап складывается из определения и
анализа рисков и разработки стратегии обеспечения безопасности и плана
сокращения рисков. В процессе определения и анализа рисков оценивают ущерб от
реализации угроз, устанавливают вероятностные критерии оценки угроз, оценивают
вероятность реализации угроз.
Перейдем к оценке. Сначала произведем классификацию информационных
ресурсов по классу информации, содержащихся в них. Степень важности
информационного ресурса зависит от действующего законодательства (персональные
данные необходимо защищать) и от бизнес-процесса, который задействует его.
К классу секретной информации (С) отнесем базу рецептов пива.
Неавторизованный доступ к этим данным извне или изнутри является критичным для
компании. Целостность данных жизненно важна. Атака на данные информационные
ресурсы критичны для предприятия и могут подорвать функционирование всего
предприятия. Основной бизнес-процесс (процесс разработки и процесс производства
пива) задействует базу данных рецептов пива и поэтому является важнейшим для
предприятия.
К классу конфиденциальной информации и персональным данным (К) относятся:
система работы с клиентами, система электронного документооборота, сервер
безопасности, 1С: Бухгалтерия, 1С: Кадры. Данные этого класса конфиденциальны
внутри компании и защищены от доступа извне. В случае доступа к этим данным
посторонних возникает риск воздействия на эффективность компании, что может
привести к финансовым потерям, раскрыть данные клиента или дать преимущество
конкурентам. Целостность данных жизненно важна. 1С: Бухгалтерия и 1С: Кадры
являются важными информационными системами как с точки зрения законодательства
(содержат персональные данные), так и с точки зрения процессов предприятия.
К классу информации для служебного пользования (ДСП) относятся:
бизнес-план, база данных нормативно-методической документации, система видеонаблюдения.
Доступ извне к этим данным должен быть ограничен, но последствия в случае их
разглашения некритичны.
К классу свободно-распространяемой информации (СР) относятся: Web-сервер. Данные в этих системах могут
быть доступны широкому кругу лиц без ущерба для предприятия.
Составим ранжированную таблицу угроз, в которой распишем оценку
вероятности, техническую уязвимость, риски и решение.
Таблица 17
|
Угроза
|
Вероятность
|
Техническая уязвимость
|
Риски
|
Решение
|
|
Атака на данные сервера разработки
|
Высокая
|
Средняя
|
Высокие
|
Минимизировать
|
|
Выход из строя сервера разработки или изменение/уничтожение
данных
|
Высокая
|
Средняя
|
Высокие
|
Избежать
|
|
Атака на данные системы электронного документооборота
|
Средняя
|
Низкая
|
Высокие
|
Игнорировать
|
|
Выход из строя системы электронного документооборота или
изменение/уничтожение данных
|
Средняя
|
Средняя
|
Средние
|
Избежать
|
|
Атака на данные системы работы с клиентами
|
Средняя
|
Средняя
|
Средние
|
Минимизировать
|
|
Выход из строя системы работы с клиентами или
изменение/уничтожение данных
|
Средняя
|
Средняя
|
Средние
|
Избежать
|
|
Кража 1С: Бухгалтерия
|
Средняя
|
Средняя
|
Средние
|
Минимизировать
|
|
Выход из строя 1С: Бухгалтерия или изменение/уничтожение
данных
|
Средняя
|
Средняя
|
Средние
|
Избежать
|
|
Кража 1С: Кадры
|
Средняя
|
Средняя
|
Средние
|
Минимизировать
|
|
Выход из строя 1С: Кадры или изменение/уничтожение данных
|
Средняя
|
Средняя
|
Средние
|
Избежать
|
|
Выход из строя сервера безопасности или
изменение/уничтожение данных
|
Средняя
|
Средняя
|
Средние
|
Избежать
|
|
Атака на данные бизнес-плана
|
Низкая
|
Средняя
|
Низкие
|
Игнорировать
|
|
Выход из строя сервера с бизнес-планом или
изменение/уничтожение данных
|
Низкая
|
Средняя
|
Низкие
|
Игнорировать
|
|
Кража данных системы видеонаблюдения
|
Низкая
|
Средняя
|
Низкие
|
Игнорировать
|
|
Выход из строя системы видеонаблюдения или
изменение/уничтожение данных
|
Низкая
|
Средняя
|
Низкие
|
Игнорировать
|
|
Атака на данные базы нормативно-методической документации
|
Низкая
|
Средняя
|
Низкие
|
Игнорировать
|
|
Выход из строя сервера нормативно-методической документации
или изменение/уничтожение данных
|
Низкая
|
Средняя
|
Низкие
|
Минимизировать
|
|
Выход из строя Web-сервера или изменение/уничтожение данных
|
Низкая
|
Средняя
|
Низкие
|
Минимизировать
|
Положим, что вероятность угрозы низкая (до 30%), средняя (от 31% до 49%),
высокая (свыше 50%).
На предприятии существуют механизмы защиты, но имеются какие-то уязвимости.
Поэтому уязвимость средняя.
А величина риска определяется как усредненная величина годовых потерь
организации в случае реализации угрозы: низкий (до 10% годового дохода),
средний (от 10% до 40% годового дохода), высокий (от 41% годового дохода.)
При принятии решения необходимо учитывать степень эффективности
конкретного варианта обработки рисков.
На выходе метода OCTAVE
возникает план обработки рисков, включающий набор контрмер, их стоимость, сроки
и ответственных за реализацию.
Таблица 18 Подробная обработка рисков по некоторым из угроз.
|
Угроза
|
Набор контрмер с пояснениями
|
Стоимость
|
Ответственный
|
|
Атака на данные сервера разработки
|
Минимизировать. Так как данный информационный ресурс
относится к основному бизнес-процессу, его нужно максимально защищать, потому
что реализация угрозы подрывать работу всего предприятия. Ценность информации
данного ресурса высока. Необходимо минимизировать вероятность угрозы в идеале
до нуля. Допустим, что в системе информационной безопасности предприятия для
аутентификации используется пароль длинной 6 символов, поэтому имеется
уязвимость в виде подбора/кражи пароля. В качестве контрмер введем
обязательный пароль достаточной длины, срок жизни которого 2 месяца, и
электронный аутентификатор, запретить подключение к внешним носителям для
компьютеров, имеющих доступ к данному серверу.
|
Цена электронного аутентификатора *кол-во сотрудников,
использующих данный ресурс. Стоимость данных контрмер ниже стоимости
информации, стоимость устраивает.
|
Сотрудник службы безопасности.
|
|
Выход из строя сервера разработки или уничтожение изменение
данных на данном ресурсе
|
Избежать. То есть необходимо избежать последствий, которые
возникнут в последствии реализации угрозы. Так как данный информационный
ресурс относится к основному бизнес-процессу, его нужно максимально защищать,
потому что реализация угрозы подрывать работу всего предприятия. Ценность
информации данного ресурса высока. Но минимизация рисков в данном случае
менее эффективна. Предположим, что наше предприятие имеет аварийное электричество.
И чтобы избежать последствий, необходимо приобрести дополнительный сервер,
дублирующий данный информационный ресурс. В результате выхода из строя
данного ресурса, его заменит дублирующий сервер. Доступ к дублирующему
серверу необходимо строго регламентировать и назначить за него ответственного
в службе безопасности.
|
Цена сервера. Стоимость контрмер ниже стоимости информации,
стоимость устраивает.
|
Сотрудник службы безопасности.
|
|
Атака на данные системы электронного документооборота
|
Игнорировать. Предположим, что СЭД предприятия технически
максимально защищена и нет смысла тратить средства на минимизацию рисков или
избежание последствий.
|
-
|
-
|
|
Выход из строя системы эл. документооборота или
изменение/уничтожение данных на ресурсе
|
Избежать. Предположим, что наше предприятие имеет аварийное
электричество. В качестве контрмер приобретем сервер, который будем
использовать в качестве сервера восстановления. Важные документы продублируем
на данный сервер. К серверу восстановления доступ строго регламентирован.
|
Цена сервера. Стоимость контрмер ниже стоимости информации,
стоимость устраивает.
|
Сотрудник службы безопасности
|
|
Атака на данные системы работы с клиентами
|
Минимизировать. Предположим, что политикой безопасности
предприятия в качестве аутентификатора предусмотрен пароль малой длины.
Имеется риск подбора/кражи пароля. Поэтому в качестве контрмеры увеличим
обязательную длину пароля, срок жизни которого 3 месяца.
|
Низкая
|
Сотрудник службы безопасности
|
|
Выход из строя системы работы с клиентами или изменение/уничтожение
данных на ресурсе
|
Избежать. При обработке угрозы выхода из строя СЭД, мы
приобретем сервер восстановления. Поэтому в качестве контрмер, все важные
данные дублировать на данный сервер.
|
Низкая
|
Сотрудник службы безопасности
|
|
Атака на данные бизнес-плана
|
Игнорировать. Данные имеют низкую ценность, поэтому смысла
тратить средства на улучшение защиты смысла нет.
|
-
|
-
|
|
Выход из строя Web-сервера или изменение/уничтожение данных
|
Минимизировать. Вероятность угрозы низкая, ценность данных
низкая, но все же ценность имеется. Поэтому просто продублируем важные данные
на сервер восстановления.
|
Низкая
|
Сотрудник службы безопасности
|
Таблица 19 Полная обработка рисков
|
Угроза
|
Набор контрмер
|
Стоимость
|
Ответственный
|
|
Атака на данные сервера разработки
|
- пароль достаточной длины и сроком жизни 2 месяца -
электронный аутентификатор
|
Приемлемая
|
Сотрудник службы безопасности
|
|
Выход из строя сервера разработки или изменение/
уничтожение данных
|
- дублирующий сервер, со строгим регламентом доступа
|
Приемлемая
|
Сотрудник службы безопасности
|
|
Атака на данные СЭД
|
Игнорировать
|
|
|
|
Выход из строя СЭД или изменение/уничтожение данных
|
- сервер восстановления, со строгим регламентом доступа
|
Приемлемая
|
Сотрудник службы безопасности
|
|
Атака на данные системы работы с клиентами
|
- пароль достаточной длины и сроком жизни 3 месяца
|
Низкая
|
Сотрудник службы безопасности
|
|
Выход из строя системы работы с клиентами или
изменение/уничтожение данных
|
- важные данные дублируем на сервер восстановления
|
Низкая
|
Сотрудник службы безопасности
|
|
Кража 1С: Бухгалтерия
|
- пароль достаточной длины и сроком жизни 3 месяца
|
Низкая
|
Сотрудник службы безопасности
|
|
Выход из строя 1С: Бухгалтерия или изменение/ уничтожение
данных
|
- важные данные дублируем на сервер восстановления
|
Низкая
|
Сотрудник службы безопасности
|
|
Кража 1С: Кадры
|
- пароль достаточной длины и сроком жизни 3 месяца
|
Низкая
|
Сотрудник службы безопасности
|
|
Выход из строя 1С: Кадры или изменение/ уничтожение данных
|
- важные данные дублируем на сервер восстановления
|
Низкая
|
Сотрудник службы безопасности
|
|
Выход из строя сервера безопасности или изменение/
уничтожение данных
|
- важные данные дублируем на сервер восстановления
|
Низкая
|
Сотрудник службы безопасности
|
|
Атака на данные бизнес-плана
|
Игнорировать
|
|
|
|
Выход из строя сервера с бизнес-планом или изменение/уничтожение
данных
|
Игнорировать
|
|
|
|
Кража данных системы видеонаблюдения
|
Игнорировать
|
|
|
|
Выход из строя системы видеонаблюдения или изменение/
уничтожение данных
|
Игнорировать
|
|
|
|
Атака на данные базы нормативно-методической документации
|
|
|
|
Выход из строя сервера нормативно-методической документации
или изменение/уничтожение данных
|
- важные данные дублируем на сервер восстановления
|
Низкая
|
Сотрудник службы безопасности
|
|
Выход из строя Web-сервера или изменение/ уничтожение данных
|
- важные данные дублируем на сервер восстановления
|
Низкая
|
Сотрудник службы безопасности
|
. Обработка человеческих рисков
Человеческие риски на нашем предприятии достаточно низкие. Все сотрудники
занимаются деятельностью, к которой предрасположены, имеют соответствующее
образование и опыт работы и хорошо мотивированы. Также они не являются «детьми»
по трансактному анализу Берна. Их доступ к информационным ресурсам строго
определен матрицей доступа.
Если при анализе угроз выясняется, что сотрудник не походит под
какой-либо параметр, то необходимо изменить его должность, провести обучение,
дать стимул, ограничить доступ к какому-либо ресурсу или уволить.
Во главе каждого бизнес-процесса стоит ответственный за него человек.