Риск

Стратегия снижения

Подобно другим организациям, ВОИС подвержена риску кибератак и риску преднамеренного или случайного нарушения конфиденциальности данных, что может вести к несанкционированному разглашению или неправомочному использованию конфиденциальной информации ВОИС или нарушениям ее деятельности.  Это может сказаться на репутации ВОИС как надежного консультанта и поставщика услуг для своих государств-членов и клиентов. 

Поэтапное осуществление целенаправленной Стратегии обеспечения ЦИ позволит ВОИС продолжать повышать свою информационную безопасность и устойчивость Организации в плане обеспечения ЦИ, защиты людей, процедур и технологий.

Риски, связанные с техногенными катастрофами или стихийными бедствиями, которые могут затрагивать персонал ВОИС, посетителей Организации и ее инфраструктуру (пожар, взрыв, наводнение, обрушение, отказ технических систем).  Неспособность подготовиться к таким событиям, отслеживать их и принимать ответные действия может стать причиной телесных повреждений, жертв и/или серьезных нарушений деятельности ВОИС.

Существующие эффективные планы действий на случай чрезвычайных ситуаций/планы эвакуации и механизмы ответных действий для всех помещений штаб-квартиры ВОИС, включая ответные меры в чрезвычайных ситуациях и координация действий.  Принятая в 2013 г. превентивная программа охраны/обеспечения безопасности помещений для выявления и устранения недостатков.

Преступные действия, как внутри Организации, так и вне ее (кража, саботаж, терроризм); злоумышленные деяния, приводящие к нарушению деятельности Организации, и/или деяния, приводящие к нарушению работы Организации (демонстрации/гражданские волнения/протесты против глобализации/выступления групп анархистов).

Существующая комплексная система охраны и безопасности, процедуры управления риском и концентрические уровни контроля физической безопасности, включающие меры защиты от вторжения, камеры видеонаблюдения и современную систему контроля доступа к помещениям.

Ожидаемые результаты

Показатели результативности

Базовые показатели

Целевые показатели

IX.1 Эффективные, оперативные, качественные и ориентированные на пользователя вспомогательные услуги, предоставляемые как внутренним клиентам, так и внешним заинтересованным сторонам

Меры обеспечения ЦИ определены и реализуются.

Число сотрудников, информированных об их обязанностях в области информационной безопасности, политике обеспечения безопасности и передовой практике.

Ограниченное обеспечение ЦИ
Ограниченные возможности для выполнения Стратегии обеспечения ЦИ.

12% сотрудников стали жертвами фишинг-мошенничества (в среднем по результатам 2 имитационных кампаний, проведенных в 2014 г. и первой половине 2015 г.).

Утвержденная система обеспечения ЦИ введена в действие.

Менее 5% сотрудников, ставших жертвами фишинг-мошенничества.

IX.4 Ответственная в экологическом и социальном плане Организация, в которой сотрудники ВОИС, делегаты, посетители, а также информационные и материальные активы находятся под охраной и в безопасности

Доля (%) информационных рисков, включая риски, исходящие от третьих сторон, о которых получены сообщения и управление которыми последовательно осуществляется в рамках предельно допустимого уровня риска в ВОИС.

Сообщения об информационных рисках поступают по мере их возникновения.
Не осуществляется последовательного выявления рисков, исходящих от третьих сторон, и управления ими.

Представление квартальных отчетов об информационных рисках для внутренних подразделений обеспечения ЦИ
Активное управление рисками, исходящими от третьих сторон (<10% – высокое).

Выявление в предупредительном порядке и своевременное устранение факторов уязвимости в рамках согласованных уровней обслуживания.

Повышение уровня выполнения политики и стандартов обеспечения ЦИ.

Выявлены и устранены ограниченные факторы уязвимости информационной безопасности.

Соблюдение стандартов ISO 27001 и сертификация в соответствии с ними ограничены системами PCT.

Факторы уязвимости информационной безопасности выявлены и устранены в случае 90% конфиденциальных информационных активов.

Соблюдение стандартов ISO 27001 и сертификация в соответствии с ними расширены на мадридскую, гаагскую и кадровые системы.

Широко принятая политика классификации информации и обращения с нею для обеспечения конфиденциальности информации.

Уменьшение дублирования технического потенциала информационной безопасности путем применения воспроизводимой архитектуры обеспечения безопасности.

Ограниченное осуществление политики классификации информации и обращения с нею.

Выборочное и ограниченное внедрение мер безопасности, ведущих к ограничению воспроизводимых и гибких структур.

Степень осуществления политики классификации информации и обращения с нею повышена на 40%.

Принята архитектура обеспечения безопасности, позволяющая повысить на 30% степень использования воспроизводимых и гибких структур.

Укрепление потенциала значительно более оперативно выявлять угрозы для информационной безопасности и принимать ответные меры, что позволяет свести к минимуму нарушения в деятельности Организации.

Создан базовый потенциал служб безопасности для выявления киберугроз и принятия ответных мер

Создание Центра обеспечения кибербезопасности для повышения на 30% возможностей контролировать и выявлять нарушения информационной безопасности и принимать ответные меры.

Доля (%)сотрудников ВОИС, делегатов и посетителей, сообщивших об инцидентах и травмах, связанных с работой

Не более 2% от общего числа партнеров/клиентов, сообщающих о травмах или инцидентах, связанных с работой

Не более 2%

Доля (%) своевременных запросов об оказании помощи в отношении безопасности на конференциях или мероприятиях, проводимых в Женеве или за ее пределами

Не менее 90 % от общего числа партнеров/клиентов запрашивают своевременную помощь в обеспечении охраны и безопасности конференций или мероприятий, проводимых в Женеве или за ее пределами

Не менее 90%