В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Структура менеджмента риска, представленная на рис. 19, предназначена для содействия организации в эффективном осуществлении менеджмент риска через реализацию соответствующего процесса менеджмента риска на различных уровнях и в рамках определенного контекста организации. Данная структура должна обеспечивать условия того, что полученная в результате работы из этих процессов информация о риске будет адекватным образом доведена до сведения и использована в качестве основы для принятия необходимых решений и поддержке отчетности на соответствующих уровнях корпоративного управления и операционной деятельности в организации.
Структура менеджмента риска, представленная на рис. 20, предназначена для содействия организации в установлении и поддержке системы менеджмента информационной безопасности организации, отвечающей лучшим международным практикам. Далее будут достаточно подробно отражены шаги внедрения стандартизированных систем менеджмента информационной безопасности
Только приведенными примерами сфера применения моделей непрерывного совершенствования в структуре требований международных стандартов не ограничивается. К настоящему времени принято множество комплексов стандартов на системы менеджмента в различных сферах деятельности (от безопасности продуктов питания до управления цепочками поставок продукции), а также применительно к общим и отдельным задачам, реализуемым в рамках организаций.
Не вдаваясь в детали (с ними можно ознакомиться, взяв любой стандарт на ту или иную систему менеджмента), каждый из них (подобно приведенным на рис. 19 и 20) включает необходимые параметры настойки модели Деминга на соответствующие виды деятельности в терминах и семантике сферы применения. В целом же общий эталонный подход модели непрерывного совершенствования отражает рис. 21.
Каждый из стандартов на системы менеджмента включает положения, де-факто ориентирующие на реализацию модели непрерывного совершенствования. Далее рассмотрим, как это может работать в рамках организации.
2.2. Стандартизированные модели менеджмента. Аспекты контроля и совершенствования. Интеграция
2.2.1. Стандартизированные модели менеджмента в системе корпоративного управления
На уровне организации любые стандартизированные решения на системы менеджмента попадают в одну среду и должны подчиняться единым нормам корпоративного управления. Рис. 22 иллюстрирует такую ситуацию на примере трех стандартизированных систем:
— менеджмента информационной безопасности организаций (ISO / IEC 27001);
— менеджмента качества (ГОСТ Р ИСО 9000);
— менеджмента окружающей среды (ГОСТ Р ИСО 14000).
Перечисленные системы менеджмента косвенно поддерживают менеджмент всех бизнес-процессов (пример рассматривает «вспомогательные»/«обеспечивающие» виды деятельности) как часть корпоративной системы, менеджмента риска в частности, для достижения организацией установленных целей. С точки зрения корпоративного управления эта модель должна иметь поддержку на соответствующих уровнях управления, как показано на рис. 23.
Системы менеджмента для более низких уровней работают во взаимодействии с системами менеджмента для более высоких уровней. На каждом из уровней корпоративного управления (будь то самостоятельно юридическое лицо или подразделение организации) должны учитываться все аспекты и сферы деятельности, как это определяется вышестоящим уровнем управления, включая свою часть (в рамках полномочий и ответственности) по планированию/проектированию, исполнению, контролю и выработке предложений/решений совершенствования деятельности.
Рис. 24 иллюстрирует возможную организацию реализации процессов СМИБ при двухуровневой организации деятельности компании. Каждый из уровней управления должен поддерживать отвечающие его функциям процессы СМИБ, соответствующие сферам ответственности правам и обязанностям каждого из уровней управления.
В приведенном примере для процессов планирования работ, принятия решений о целях и задачах СМИБ, владельцами будут сотрудники головной организации компании, а исполнительская и первичная контрольные виды деятельности будут реализованы на уровне подчиненного подразделения. Общий (итоговый) контроль, конечно же, ляжет на корпоративный центр. Процессы совершенствования деятельности в такой организации деятельности должны иметь критерии тактических (в рамках полномочий руководства подчиненных подразделений) и стратегических (компетенция принятия решений за головной организацией) решений.
Реализация других системы менеджмента в рамках компании будет подразумевать подобную организацию и реализацию процессов деятельность, так как будет осуществлена в той же системе внутрикорпоративных правил.
Важнейшая роль руководства (высшего руководства) организации с точки зрения эффекта внедрения и результатов внедрения любых стандартов менеджмента отмечается практически во всех стандартах.
Например, в ISO/IEC 27001 [11]:
«Руководство должно предоставлять свидетельства исполнения своих обязательств по установлению, реализации, приведению в действие, мониторингу, проверке, поддержке и совершенствованию системы менеджмента информационной безопасности путем:
а) установления политики системы менеджмента информационной безопасности;
б) обеспечения установления целей системы менеджмента информационной безопасности и планов;
в) установления ролей и обязанностей, связанных с информационной безопасностью;
г) доведения до персонала организации о важности выполнения целей информационной безопасности и соблюдения политики информационной безопасности, об обязанностях в соответствии с законом и о потребности в постоянном совершенствовании;
д) предоставления достаточных ресурсов для установления, реализации, приведения в действие, мониторинга, проверки, поддержки и совершенствования системы менеджмента информационной безопасности;
Читать дальшеИнтервал:
Закладка:
