Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/МЭК 27004-2021 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 388-ст)
- Приложение С (справочное). Пример спецификации конструкции оценки эффективности в форме произвольного текста
Приложение С (справочное). Пример спецификации конструкции оценки эффективности в форме произвольного текста
Приложение С
(справочное)
Пример
спецификации конструкции оценки эффективности в форме произвольного текста
С.1 "Эффективность обучения" - конструкция оценки эффективности
В этом примере с использованием "свободного текстового формата" выясняется, будет ли более эффективным для достижения целей информационной безопасности обучать персонал формализовано, чем просто сделать политику доступной в Интернете.
Предположим, что все сотрудники (S1) обязаны прочитать онлайн-версию политики информационной безопасности организации в рамках условий своего найма (контракта).
В некоторый момент времени S2 - общее количество сотрудников, которые подтвердили, что читали политику в режиме онлайн (то есть они открыли ее в режиме онлайн и, по крайней мере, пролистали до конца текста).
S3 - количество сотрудников, которые прошли специальное обучение по информационной политике безопасности. (S3 всегда будет подмножеством S2, поскольку для курса потребуется предварительное онлайн-чтение политики).
Все сотрудники, которые хотя бы ознакомились с правилами, должны пройти онлайн-тестирование, включая тех, кто прошел официальное обучение.
S4P - количество сотрудников, которые успешно прошли тестирование только после ознакомления с политикой интрасети.
S4F - количество людей, которые проходили тестирование только после ознакомления с политикой интрасети и не смогли пройти его.
S5P - количество людей, которые успешно прошли тот же тест после посещения формального обучения.
S5F - количество людей, которые проходили тот же тест после посещения тренинга и не смогли пройти его.
Е1 = S1 - S2 - количество сотрудников, которые еще не знакомы с политикой информационной безопасности.
Е2 = S4P/(S4P + S4F) - доля сотрудников, которые только прочитали политику и хорошо ее понимают (это определяется порогом прохождения теста).
Е3 = S5P/(S5P + S5F) - доля сотрудников, которые прошли формальное обучение и хорошо понимают политику информационной безопасности.
Е4 = Е3/Е2 - показатель эффективности формального обучения по сравнению с простым самообучением.
S1 - S2 также является полезным показателем, показывающим, сколько сотрудников еще не прочитало онлайн-политику. Этот показатель может иметь пороговое значение, которое при превышении определенной доли от общей численности персонала, может вызывать рассылку оповещений. Однако при этом также должна учитываться продолжительность чтения онлайн-политики.
Можно предположить, что со временем, по мере повышения уровня осведомленности и культуры информационной безопасности, порог может быть повышен по мере выявления тенденций, равно как и анализ вопросов, вызывающих неудачи, что может привести к более эффективному выражению политики или установлению более реалистичной цели.