В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Возможно, подобные модельные рекомендации будут приняты и для сферы корпоративного управления информационной безопасностью, включая место и роль стандартизированных требований к СМИБ в системе корпоративного управления. На рис. 28 представлена возможная модель корпоративного управления информационной безопасностью организации, согласующаяся с признанной моделью корпоративного управления информационными технологиями в организации, нашедшей отражение в ISO / IEC 38500.
В любом случае должны быть идентифицированы роли и функции органов управления компании и вопросы смежных областей. Одно из возможных модельных решений применительно к архитектуре корпоративного управления информационной безопасностью представлено на рис. 29.
В конечном итоге наиболее критичным вопросом и одной из важнейших задач высшего руководства является обеспечение таких бизнес-ресурсов, как «люди», «предметы» и «деньги». В конечном итоге успех дела (в данном случае эффективность затрат в СМИБ организации), как и в традиционном бизнесе, будет зависеть от достаточности ресурсной поддержки. При этом крайне чувствительным и одновременно сложным здесь является вопрос о достаточности ресурсной поддержки (как установить порог/критерий, характеризующий, что «все заработало»). Современные стандарты СМИБ включают такие формулировки: руководство должно понимать потребности системы менеджмента информационной безопасности и предоставлять для нее необходимые бизнес-ресурсы.
Однако значение того, сколько составляет «необходимое» и «достаточное», стандартами установлено быть не может. Есть «микро» предприятия, есть средние и большие. При этом градации сегментов: малое предприятие, среднее и большое — в некоторой степени абстрактны и имеют различия от вида и сферы деятельности (бизнеса) организации. В различных странах (и в России, в частности) существует формальное определение малого предприятия для целей льготного налогообложения, но это все-таки достаточно условная градация, с порогами, устанавливаемыми от годового дохода компании. В то же время с развитием технологий и вынужденной унификацией отдельных задач данные абстрактные критерии все же получают вполне возможное содержанием для отдельных областей.
Например, в сфере информационных технологий в начале 2000-х гг. стал формироваться срез (где-то клон) стандартов информатизации для объектов, получивших наименование «очень малая организация (предприятие)» (Very Small Enterprises (VSE)). С практической точки зрения это вполне оправдано: в мире многим миллионам микрокомпаний (а это тот срез экономики, что генерирует несколько десятков процентов всего мирового ВВП) требуется иметь автоматизированную бухгалтерию, выход в Интернет (электронная почта, электронные торги и т. п.), автоматизированный учет кадров и т. п. При этом классические полные циклы инвестиций в информатизацию и их возврата, а также классика менеджмента информационными технологиями, процессами жизненного цикла систем и программных средств со всеми вытекающими атрибутами для них «неприподъемны». В будущем, возможно, и в сфере требований к СМИБ организаций и задачам корпоративного управления ИБ будет обращено внимание к сегменту VSE. Однако область безопасности чрезвычайно чувствительная и специфичная и консенсус здесь найти не так-то просто. Многие защитные меры ИБ в организациях сегмента VSE реализуются механизмами бизнеса (доверие, гарантии, страхование, аутсорсинг). Такие решения сложно облачить в форму универсальных стандартов СМИБ для VSE.
2.2.2. Универсальные требования к стандартам на системы менеджмента
Все опубликованные стандарты на системы менеджмента отвечают единым принципам их назначения, структуры требований и содержания. Это обеспечивается едиными правилами и нормами, действующими в рамках международной организации по стандартизации (ИСО).
Технический административный совет ИСО, осознав потребность в обеспечении совместимости стандартов систем менеджмента и признав, что этому может способствовать единая методология принятия решений и разработки таких стандартов, подготовил ряд модельных типовых решений. В результате в качестве дополнительных требований к действующим административным директивам ИСО/МЭК было разработано руководство по обоснованию и разработке стандартов систем менеджмента, изданное в 2001 г. как Руководство ISO 72 [13].
Основным назначением подготовленных рекомендаций являлось создание условий для обеспечения сопоставимости и совместимости, упрощения совместного использования стандартов систем менеджмента организациями, желающими одновременно следовать положениями более чем одного стандарта на системы менеджмента.
По назначению Руководство ISO 72 является дополнением к процедурам для технической работы и методологии разработки международных стандартов, устанавливаемым директивами ISO/IEC, определяющим ряд общих требований к работе технических комитетов ISO, планирующих разработку или разрабатывающих стандарты менеджмента. Эти общие нормы и формируют совместимость стандартов менеджмента по ключевым сущностям, стратегиям внедрения и развития. Все присутствующие на рынке услуг предложения по внедрению в организациях так называемых «интегрированных систем менеджмента» в своей основе опираются на Руководство ISO 72, дополняя его специфичной семантикой, отражающей, сколько систем менеджмента планируется одновременно «загрузить» в систему корпоративного управления организации.
В целом Руководство ISO 72 рекомендует выделять три следующих вида стандартов систем менеджмента.
— А — стандарты требований системы менеджмента как общие, так и характерные для сектора;
— Б — стандарты рекомендаций для системы менеджмента как общие, так и характерные для сектора;
— В — стандарты, связанные с системой менеджмента.
Стандарты вида А (стандарты требований системы менеджмента) предназначены для формирования соответствующих спецификаций менеджмента, позволяющих осуществлять оценку для демонстрации соответствия внутренним и внешним требованиям (например, путем независимой оценки первой, второй или третьей стороной). Примерами таких стандартов являются:
— стандарты требований системы менеджмента (спецификации), например ISO/IEC 27001, ИСО 9001 и т. п.;
— характерные для сектора стандарты требований системы менеджмента;
Читать дальшеИнтервал:
Закладка:
