В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
— менеджмента ресурсов — включают все процессы обеспечения ресурсов, которые необходимы для процессов менеджмента организации, реализационных процессов и процессов измерения;
— реализационные — включают все процессы, обеспечивающие намеченный выход для организации;
— измерения, анализа и совершенствования — включают процессы, необходимые для измерения и сбора данных для анализа функционирования и совершенствования эффективности и продуктивности, процессы измерения, мониторинга и аудита, корректирующие и превентивные меры и являются интегральной частью процессов менеджмента, менеджмента ресурсов и реализационных процессов.
Пример процессной последовательности и ее взаимодействий на уровне организации, представленный на рис. 18, иллюстрирует некую упрощенную эталонную модель, нуждающуюся в серьезной адаптации под операционную и управленческую инфраструктуру организации. Наиболее сложным в этой задаче, как правило, является вопрос регламентации действий (деятельности работников любого уровня), являющихся следствием внезапных или неожиданных событий (стохастическая составляющая в деятельности организации). В зависимости от рода деятельности организации, качества компонентов операционной среды и подготовки персонала стохастическая составляющая в деятельности организации может варьироваться от 20 до 80 %. Наиболее сложны в этом плане процессы менеджмента (управленческие процессы), связанные с принятием решений. Отдельные проблемы данной категории процессов, сопряженные с рисками принятия решений, затрагивались в предыдущей главе.
Эталонная реализация процессного подхода в рамках модели Деминга предполагает следующие пять основных процедурных шагов:
— идентификация процессов организации;
— планирование/проектирование процессов (для каждого реализуемого процесса);
— реализация процессов и измерения;
— анализ процессов;
— корректирующие действия и совершенствование процессов.
В связи с тем, что модель Деминга явно требует реализации контрольных процедур, основывающихся на объективных свидетельствах, отдельной проработки требует вопрос документирования, чтобы на практике заработал процесс «совершенствование» модели Деминга. Это включает то, что необходимо выполнить (требования и спецификации), и требования к документированию выполненной деятельности. При этом затруднительно организовать и еще сложнее поддержать в актуальном состоянии полный список документированных процессов организации и единый реестр требований к свидетельствам выполненной деятельности. В то же время для целей измерений, контроля и аудита должны приниматься требования по документированию соответствующих результатов деятельности. Когда такие решения принимаются спонтанно и не согласованы с конечными производственными результатами, то вместо роста эффективности мы можем получить обратный результат, вплоть до деградации объекта рассмотрения.
Далеко за примерами ходить не надо. Известны результаты акций по внедрению систем менеджмента качества (СМК) в большинстве российских компаний, когда основной целью были «шашечки», а «ехать» никто никуда не собирался. Но это одна ситуация. Более печально, когда руководство организации на самом деле желает поднять качество деятельности (продукции), но в силу слабой компетенции сотрудников получает обратный результат… Даже для европейского менталитета и гораздо более высокой исполнительской дисциплины персонала западных компаний такая ситуации не редкость.
Журнал European Quality, издаваемый Европейской организацией по качеству, опубликовал в статье «10 аргументов против применения стандартов ИСО серии 9000» изложение фрагмента книги Дж. Седдона «В поисках качества. Дело против ИСО 9000» [9]. Автор считает, что существуют более надежные способы повышения эффективности предприятий, удовлетворения потребителей, обеспечения реального качества и увеличения прибылей, чем работа в соответствии с предписаниями стандартов ИСО серии 9000, даже в версии 2000 г. Дж. Седдон полагает, что внедрение стандартов ИСО серии 9000 нанесло ущерб конкурентоспособности сотен тысяч организаций. Он приводит мнение одного из британских специалистов, который был тесно связан с внедрением британского стандарта BS 5750, послужившего основой для разработки международных стандартов ИСО серии 9000: «Внедрение BS 5750/ISO 9000 в британской промышленности стало крупнейшим обманом». Автор отмечает, что главной ошибкой была излишняя уверенность организаций в том, что внедрение стандартов качества решит все проблемы (наивные британцы!). При этом обращается внимание на то, что процедура сертификации по ИСО 9000 не позволила организациям разглядеть реальные возможности для повышения своих показателей, которые они обязательно заметили бы в ином случае: процедура регистрации на соответствие стандартам ИСО 9000 заслонила собой эти возможности.
Среди аргументов против применения стандартов ИСО серии 9000 Дж. Седдон приводит и абсолютно ожидаемый, касающийся требований документирования СМК. Он отмечает, что из-за обилия отчетных регистрационных форм персонал компаний неявно подменяет ими содержание своего труда, так как контроль идет по формализованным свидетельствам о выполненной деятельности на том или ином участке работ. Ту же ситуацию мы видим и в российских компаниях, внедряющих подобные стандарты, когда их применение не ориентировано на совершенствование продукта/результата деятельности, когда решения о применении стандартов менеджмента не сопровождаются обсуждением и закреплением о том, что и как планируется улучшить в деятельности организации, относительно имеющейся в настоящее время ситуации.
2.1.3. Модели непрерывного совершенствования и международные стандарты
Указанные особенности и условия внедрения и применения модели Деминга уместны для любого вида менеджмента в организации (управленческого, производственного, обслуживающего, ресурсного и т. п.). Модель определяет основные этапы, шаги, а их наполнение — ту задачу, которую планируется решить. Все большее число принимаемых международных стандартов менеджмента для различных сфер их применения преследуют фактически одну главную цель — дать базовый ориентир содержательного наполнения работ модели Деминга в терминах и содержании решаемой задачи.
На рис. 19 и 20 представлены примеры структуры эталонной модели менеджмента применительно к эталонной модели менеджмент риска организации [10] и системы менеджмента информационной безопасности [11], обеспечивающие «настройку» модели Деминга на соответствующие сферы применения.
Читать дальшеИнтервал:
Закладка:
