Статья опубликована в рамках: XLVIII Международной научно-практической конференции «Экономика и современный менеджмент: теория и практика» (Россия, г. Новосибирск, 06 апреля 2015 г.)
Наука: Экономика
Секция: Теория управления экономическими системами
Скачать книгу(-и): Сборник статей конференции
- Условия публикаций
- Все статьи конференции
дипломов
Статья опубликована в рамках:
Выходные данные сборника:
ВНУТРЕННЕЕ И ВНЕШНЕЕ ВОЗДЕЙСТВИЕ В ПРОЦЕССЕ УПРАВЛЕНИЯ РЕПУТАЦИОННЫМИ РИСКАМИ ВСЛЕДСТВИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Дорохов Виталий Эдуардович
аспирант кафедры «Корпоративной безопасности», Рязанский государственный радиотехнический университет, РФ, г. Рязань
E-mail: Vitdorokhov@gmail.com
INTERNAL AND EXTERNAL INFLUENCES IN THE MANAGEMENT OF REPUTATIONAL RISK AS RESULT FROM INFORMATION SECURITY INCIDENTS
Vitaly Dorokhov
postgraduate at Department of Corporate security Ryazan State Radio Engineering University, Russia, Ryazan
АННОТАЦИЯ
В работе вводится критерий опасности нарушителя информационной безопасности.
Также в данной статье определяется перечень необходимых организационных и технических мероприятий, направленных на минимизацию репутационных рисков вследствие информационной безопасности, для ранее определенных классов нарушителей.
ABSTRACT
There are appeared the top for dangerous offender information secuirity in the work.
This article also defines a list of the necessary organizational and technical measures aimed at minimizing the reputational risk as a result of information secuirity for the previously defined classes of offenders.
Ключевые слова: репутационный риск; безопасность информации; управление; взаимоотношения.
Keywords: reputation risk; information security; relations; management;
В статье [1] были определены классы нарушителей информационной безопасности, действия которых приводят к репутационным потерям. В соответствие с возможной деятельностью нарушителя и критичностью последствий для организации, для классов нарушителей определены следующие показатели опасности (Таблица 1).
Таблица 1.
Показатель опасности для классов нарушителей
|
Класс |
Показатель опасности |
|
HR1: Сотрудник со слабыми профессиональными навыками и высокой лояльностью. |
Низкий |
|
HR2: Сотрудник с низким показателем лояльности и низким уровнем профессиональных навыков. |
Низкий |
|
HR3: высококвалифицированный сотрудник с высоким показателем лояльности. |
Низкий |
|
HR4: высококвалифицированный сотрудник с низким показателем лояльности и высоким уровнем профессионализма, в том числе занимающий высокую должность в организации (Вице-президент, заместитель генерального директора, главный бухгалтер). |
Высокий |
|
GR1: Compliance Manager |
Высокий |
|
GR2: Технические специалисты, отвечающие за обеспечение информационной безопасности. |
Средний |
|
GR3: Сотрудники, назначенные ответственными за ведение организационно-распорядительной документации. |
Низкий |
|
GR4: Конкурирующие предприятия и организации, способные выявить различного рода нарушения законодательства Российской Федерации. |
Средний |
|
PR1: Нарушитель, публикующий информацию ограниченного доступа и распространения с целью навредить организации. |
Высокий |
|
PR2: Нарушитель, публикующий в СМИ ложную информацию о процессах деятельности. |
Средний |
|
PR3: Нарушитель, публикующий информацию в открытых источниках на законном основании. |
средний |
|
PR4: Нарушитель, публикующий информацию ограниченного доступа и распространения без цели нанесения вреда организации. |
Средний |
|
IR1: Сотрудники организации, принимающие участие в процессах деятельности, связанных со стратегическим партнерством. |
Высокий |
|
IR2: Сотрудники, ответственные за представление периодических отчетов инвесторам. |
Высокий |
|
IR3: Сотрудники, способные в силу низкого уровня осведомленности в области информационной безопасности, распространять информацию о внутренних проблемах организации. |
Средний |
|
IR4: Конкурирующие организации и предприятия. |
Средний |
Как можно видеть из таблицы, существуют следующие показатели опасности нарушителя информационной безопасности:
Низкий — события информационной безопасности, инициируемые данным классом нарушителя, создают негативное влияние на репутацию организации, вместе с тем риск финансовых потерь для организации минимален.
Средний — события информационной безопасности, инициируемые данным классом нарушителя, могут создать прецеденты для потери прибыли, вследствие репутационных потерь организации.
Высокий — события информационной безопасности, инициируемые данным классом нарушителя, влекут за собой серьезные финансовые последствия, вплоть до приостановки деятельности организации.
Вдобавок к определенным уровням необходимо определить следующий:
Незначительный — действия данного класса нарушителей не приводят к негативным последствиям для организации, вследствие принятых мер по снижению вероятности их реализации.
Для нейтрализации действий нарушителей определенного класса существующих в организации предполагается проведение организационных и технических мероприятий (Таблица 2). Данные мероприятия определяют внешнее и внутреннее воздействие на факторы, влияющие на репутацию организации. Проводятся в соответствии с выявленными классами. Целесообразность их проведения основывается на показателе опасности.
Таблица 2.
Организационные и технические мероприятия
|
Класс |
Мероприятия |
|
HR1 |
Внедрение плановых мероприятий по повышению уровня осведомленности сотрудников в вопросах информационной безопасности. |
|
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
|
HR2 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
Формирование правил разграничения доступа к информационным ресурсам ·Физическое и логическое ограничение доступа к информации ограниченного доступа и распространения сотрудников, находящихся на испытательном сроке. |
|
|
Внедрение плановых мероприятий по повышению уровня осведомленности сотрудников в вопросах информационной безопасности. ·При приеме на работу, осведомление сотрудников об ответственности за разглашение информации о деятельности организации.* |
|
|
HR3 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
Внедрение плановых мероприятий по повышению уровня осведомленности сотрудников в вопросах информационной безопасности. |
|
|
HR4 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. · Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
Формирование правил разграничения доступа к информационным ресурсам ·Ограничение доступа сотрудников к информации ограниченного доступа и распространения. |
|
|
Внедрение дополнительных технических средств, обеспечивающих мониторинг событий информационной безопасности. ·Внедрение технического решения, обеспечивающее логирование действий пользователей, связанных с обработкой информации ограниченного доступа и распространения. |
|
|
Принятие решения о целесообразности кадровых изменений в организации. |
|
|
Документальное определение ответственности за разглашение критически важной информации в организации о процессах деятельности организации. Ознакомление под подпись всех сотрудников. ·Регламентирование ответственности субъекта за нарушение политик информационной безопасности с привязкой к занимаемой должности. |
|
|
GR1 |
Обеспечение выполнения требований регуляторов по информационной безопасности. ·Внедрение мероприятий по приведению в соответствие процессов деятельности организации законодательству РФ в области защиты информации. |
|
GR2 |
Проведение плановых мероприятий по контролю исполнения сотрудниками, ответственными за обеспечение информационной безопасности, своих обязанностей. ·Проведение плановых мероприятий по контролю исполнения администраторами безопасности своих обязанностей. |
|
Определение и документальная фиксация минимально необходимой компетенции сотрудников, отвечающих за обеспечение информационной безопасности в организации. ·Проведение плановых проверок технических специалистов на компетентность в области технической защиты информации.* · Проведение необходимых обучающих мероприятий, при появлении новых угроз утечки информации по техническим каналам. |
|
|
Введение в эксплуатацию должностных инструкций для сотрудников, ответственных за обеспечение информационной безопасности в организации. Определение перечня обязанностей. Фиксация ответственности сотрудников за неисполнение положений должностной инструкции. · Составление должностных инструкций техническим специалистам. В том числе введение в эксплуатацию инструкции администратора информационной безопасности.* ·Фиксация ответственности за некорректную настройку средств защиты информации. |
|
|
GR3 |
Определение ответственных лиц за ведение организационной документации, введенной в эксплуатацию с целью приведения процессов деятельности организации в соответствие законодательным актам РФ в области защиты информации. |
|
Проведение плановых мероприятий по контролю исполнения сотрудниками, ответственными за обеспечение информационной безопасности, своих обязанностей. ·Проведение плановых проверок заполнения необходимой документации. |
|
|
Введение в эксплуатацию должностных инструкций для сотрудников, ответственных за обеспечение информационной безопасности в организации. Определение перечня обязанностей. Фиксация ответственности сотрудников за неисполнение положений должностной инструкции. ·Составление должностных инструкций лицам, ответственным за организационные мероприятия с целью обеспечения информационной безопасности. |
|
|
GR4 |
Мероприятия по противодействию конкурентной разведке |
|
PR1 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
Внедрение средств и процедур по сканированию и мониторингу целевых информационных площадок на предмет распространения информации ограниченного доступа и распространения, а также информации, влияющей на репутацию. |
|
|
Организация реагирования на инциденты с минимальным временным интервалом. Внедрение инструкции по реагированию на инциденты информационной безопасности, предусматривающей, в том числе, процедуру по опровержению информации влияющей на репутацию организации, опубликованной в общедоступных источниках. |
|
|
Мероприятия по противодействию конкурентной разведке. |
|
|
PR2 |
Внедрение средств и процедур по сканированию и мониторингу целевых информационных площадок на предмет распространения ложной информации о деятельности организации. |
|
Организация реагирования на инциденты с минимальным временным интервалом. Внедрение инструкции по реагированию на инциденты информационной безопасности, предусматривающей, в том числе, процедуру по опровержению информации влияющей на репутацию организации, опубликованной в общедоступных источниках. |
|
|
PR3 |
Обеспечение выполнения требований регуляторов по информационной безопасности. |
|
PR4 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
Организация реагирования на инциденты с минимальным временным интервалом. Внедрение инструкции по реагированию на инциденты информационной безопасности, предусматривающей, в том числе, процедуру по опровержению информации влияющей на репутацию организации, опубликованной в общедоступных источниках. |
|
|
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Ознакомление сотрудников организации с перечнем критически важной для организации информации. ·Дополнение перечня критически важной информации в организации сведениями, характеризующими личное мнение сотрудника о процессах деятельности организации.* |
|
|
Определение и фиксация порядка опубликования в общедоступных источниках сведений, ставших известными сотруднику в процессе работы; ·Введение запрета публикации в общедоступных источниках сведений, ставших известными сотруднику в процессе работы, относящихся к критически важной информации. ·Внедрение процедуры согласования с непосредственным руководством (с высоким показателем лояльности) публикаций и интервью, иными словами различного рода информации в открытых источниках, для сотрудников, работающих в организации менее 2 лет. |
|
|
Внедрение плановых мероприятий по повышению уровня осведомленности сотрудников в вопросах информационной безопасности. |
|
|
Документальное определение ответственности за разглашение информации ограниченного доступа и распространения в организации о процессах деятельности организации. Ознакомление под подпись всех сотрудников. |
|
|
IR1 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. ·Определение перечня информации, являющейся критической для взаимоотношений с инвесторами и стратегическими партнерами. |
|
Введение в эксплуатацию должностных инструкций для сотрудников, ответственных за обеспечение информационной безопасности в организации. Определение перечня обязанностей. Фиксация ответственности сотрудников за неисполнение положений должностной инструкции. ·Разработка внутренних регламентов и должностных инструкций для сотрудников, вовлеченных в процессы деятельности связанные со стратегическим партнерством. |
|
|
IR2 |
Документальное определение ответственности за искажение информации, ставшей известной сотруднику при выполнении своих рабочих обязанностей. Ознакомление под подпись всех сотрудников. ·Доведение до сотрудников ответственности за искажение информации, предоставляемой инвесторам. |
|
IR3 |
Составление списка информации ограниченного доступа и распространения. Ознакомление под подпись всех сотрудников организации. Ознакомление сотрудников организации с перечнем критически важной для организации информации. |
|
Внедрение плановых мероприятий по повышению уровня осведомленности сотрудников в вопросах информационной безопасности. |
|
|
IR4 |
Мероприятия по противодействию конкурентной разведке. |
Выполнение приведенных мероприятий, ввиду целевой направленности их определения, позволит минимизировать репутационные риски, а также затраты на их предотвращение.
Список литературы:
- Дорохов В.Э. «Классификация нарушителей как этап менеджмента репутационных рисков вследствие инцидентов информационной безопасности» Українська наука: минуле, сучасне, майбутнє: сборник — Вып. 19, Ч. 2 под редакцией М.В. Лазаровича Тернополь, 2014. — 278 с., — c. 42—50.
дипломов
Оставить комментарий