ГОСТ Р ИСО/МЭК 27004-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание

Приложение C

(справочное)

 

ПРИМЕР СПЕЦИФИКАЦИИ КОНСТРУКЦИИ ОЦЕНКИ ЭФФЕКТИВНОСТИ

В ФОРМЕ ПРОИЗВОЛЬНОГО ТЕКСТА

 

C.1 "Эффективность обучения" - конструкция оценки эффективности

 

В этом примере с использованием "свободного текстового формата" выясняется, будет ли более эффективным для достижения целей информационной безопасности обучать персонал формализовано, чем просто сделать политику доступной в Интернете.

Предположим, что все сотрудники (S1) обязаны прочитать онлайн-версию политики информационной безопасности организации в рамках условий своего найма (контракта).

В некоторый момент времени S2 - общее количество сотрудников, которые подтвердили, что читали политику в режиме онлайн (то есть они открыли ее в режиме онлайн и, по крайней мере, пролистали до конца текста).

S3 - количество сотрудников, которые прошли специальное обучение по информационной политике безопасности. (S3 всегда будет подмножеством S2, поскольку для курса потребуется предварительное онлайн-чтение политики).

Все сотрудники, которые хотя бы ознакомились с правилами, должны пройти онлайн-тестирование, включая тех, кто прошел официальное обучение.

S4P - количество сотрудников, которые успешно прошли тестирование только после ознакомления с политикой интрасети.

S4F - количество людей, которые проходили тестирование только после ознакомления с политикой интрасети и не смогли пройти его.

S5P - количество людей, которые успешно прошли тот же тест после посещения формального обучения.

S5F - количество людей, которые проходили тот же тест после посещения тренинга и не смогли пройти его.

E1 = S1 - S2 - количество сотрудников, которые еще не знакомы с политикой информационной безопасности.

E2 = S4P/(S4P + S4F) - доля сотрудников, которые только прочитали политику и хорошо ее понимают (это определяется порогом прохождения теста).

E3 = S5P/(S5P + S5F) - доля сотрудников, которые прошли формальное обучение и хорошо понимают политику информационной безопасности.

E4 = E3/E2 - показатель эффективности формального обучения по сравнению с простым самообучением.

S1 - S2 также является полезным показателем, показывающим, сколько сотрудников еще не прочитало онлайн-политику. Этот показатель может иметь пороговое значение, которое при превышении определенной доли от общей численности персонала, может вызывать рассылку оповещений. Однако при этом также должна учитываться продолжительность чтения онлайн-политики.

Можно предположить, что со временем, по мере повышения уровня осведомленности и культуры информационной безопасности, порог может быть повышен по мере выявления тенденций, равно как и анализ вопросов, вызывающих неудачи, что может привести к более эффективному выражению политики или установлению более реалистичной цели.