ОЦЕНКА КСЗИ ОРГАНИЗАЦИИ
Для оценки состояния защищенности фирмы выбраны основные направления обеспечения КСЗИ:
1. Состав и структура службы безопасности.
2. Правовое обеспечение безопасности.
3. Организационные меры защиты.
4. Инженерно-техническое обеспечение безопасности.
5. Управление безопасностью.
В каждом направлении выделены функционально ориентированные классы мер защиты информации, каждый из которых наделяется условной количественной оценкой по шестибалльной шкале:
0 - полное отсутствие каких-либо мероприятий обеспечения безопасности;
1 - отдельные несистематизированные мероприятия;
2 - отдельные мероприятия, проводимые по единому плану обеспечения безопасности;
3 - минимальный объем мероприятий по единому плану;
4 - расширенные мероприятия по отражению вероятных угроз;
5 - полный набор мероприятий, увязанный с наращиванием мер по отражению непредвиденных опасностей угроз.
Оценка состояния защиты информации на объектах осуществляется по двум критериям:
• критерию численной оценки по минимальному значению пока-
зателей по принципу "где тонко, там и рвется";
• критерию "равнопрочности" проводимых мер защиты.
А). Оценка по минимпальному значению проводится по каждому направлению с учетом принятых для него классов мероприятий (см. таблицу).
Для оценки значения численного критерия направления берется минимальный показатель класса.,
Например: для классов первого направления вы получили следующие показатели экспертной оценки:
класс 1.1 - 3, 1.2 - 4, 1.3 - 5, 1.4 – 3 и 1.6 - 3.
Общая оценка первого направления - 3.
(Если даже остальные направления будут получать оценку 5, то общее значение состояния безопасности будет все равно 3).
Б). Оценка равнопрочности защитных мероприятий осуществляется по степени отклонения защитных мер от среднего их значения
Среднее значение классов в направлении определяется как отношение суммы коэффициентов, поделенной на количество классов в направлении.
Например, по первому направлению возьмем приведенные выше значения и сложим их.
Получим 3+4+5+3+3=18. Делим на б классов. Получаем 3 - это среднее значение.
Отклонения от среднего имеем +1, +2. Если бы все значения были бы равны 3, то можно было бы считать, что все мероприятия обладают одинаковой прочностью. А так отдельные меры более прочные, а итоговое значение все равно 3.
С учетом данных рекомендаций оцените состояние безопасности вашего объекта, заполнив оценочными показателями прилагаемую матрицу и постройте графики. Сделайте выводы.
Матрица комплексной оценки состояния безопасности
Классы | ||||||
1. СТРУКТУРА СЛУЖБЫБЕЗОПАСНОСТИ | ||||||
1.1. Подразделение охраны | ||||||
1.2. Подразделение режима | ||||||
1.3. Выделенное подразделение по подбору и расстановке кадров, допущенных к конфиденциальной информации | ||||||
1.4. Подразделение специальных документов и коммерческих секретов | ||||||
1.5. Подразделение инженерно-технического обеспечения безопасности | ||||||
1.6. Подразделение информационно-аналитической работы | ||||||
2. ПРАВОВАЯ ЗАЩИТА | ||||||
2.1. Наличие требований по обеспечению безопасности в уставе предприятия | ||||||
2.2. Регламентация мер по безопасности в коллективном договоре | ||||||
2.3. Регламентация мер по безопасности в правилах внутреннего трудового распорядка | ||||||
2.4. Регламентация мер безопасности в трудовом договоре | ||||||
2.5. Регламентация мер безопасности в положениях структурных подразделений | ||||||
2.6. Регламентация мер безопасности в функциональных обязанностях сотрудников | ||||||
2.7. Перечень сведений, составляющих коммерческую тайну |
Классы | ||||||||||||||
3. ОРГАНИЗАЦИОННАЯ ЗАЩИТА | ||||||||||||||
3.1. Охрана персонала | ||||||||||||||
3.2. Охрана материальных ценностей | ||||||||||||||
3.3. Охрана финансовых ресурсов | ||||||||||||||
3.4. Защита информации | ||||||||||||||
3.5. Охрана зданий и помещений | ||||||||||||||
3.6. Режим допуска и пребывания на объекте | ||||||||||||||
3.7. Режим допуска к коммерческим секретам | ||||||||||||||
3.8. Режим подбора и расстановки кадров | ||||||||||||||
3.9. Мониторинг сотрудников | ||||||||||||||
3.10. Мониторинг конкурентов | ||||||||||||||
4. ИНЖЕНЕРНО-ТЕХНИЧЕСКАЯ ЗАЩИТА | ||||||||||||||
4.1. Используются физические средства охраны | ||||||||||||||
4.2. Используются технические средства контроля доступа в помещения, здания | ||||||||||||||
4.3. Используются технические средства защиты информации | ||||||||||||||
4.4. Используются средства мониторинга лояльности персонала | ||||||||||||||
4.5. Используются средства активного противодействия электронному шпионажу | ||||||||||||||
5. УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ | ||||||||||||||
5.1. Наличие совета по безопасности | ||||||||||||||
5.2. Текущее планирование деятельности СБ | ||||||||||||||
5.3. Планы по обеспечению безопасности в кризисных ситуациях | ||||||||||||||
5.4. Взаимодействие с другими СБ и органами МВД | ||||||||||||||