В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
— Мониторинг. Весь процесс управления рисками организации отслеживается и по необходимости корректируется и совершенствуется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.
Система внутреннего контроля организации позиционируется как составная часть процесса менеджмента риска организации. Менеджмент риска на уровне организации рассматривается как процесс более широкий, чем внутренний контроль. Он включает и развивает систему внутреннего контроля, преобразуя ее в более эффективную форму, акцентированную на риск. В свою очередь менеджмент риска рассматривается как часть общекорпоративного менеджмента.
Современные международные стандарты внутреннего аудита предполагают возможность аудита и оценки как систем внутреннего контроля организации, так и их систем менеджмента риска. Например, стандарт Института внутренних аудиторов (The Institute of Internal Auditors, IIA) в срезе деятельности IIA 2110 определяет целью проводимых подразделениями внутреннего аудита мероприятий осуществление мониторинга и оценки эффективности действующей в организации системы менеджмента риска. В частности, подразделениям внутреннего аудита вменяется в обязанности оценки степени риска, связанного с действиями руководства организации, ее операционной деятельностью и функционированием ее информационных систем с точки зрения:
— эффективности и результативности операций;
— надежности и достоверности финансовой и оперативной информации;
— сохранности активов;
— соблюдения законов, регламентов и контрактов.
Применительно к информационной сфере организации модель Комитета COSO развивается рядом опять же «стандартов де-факто», таких как COBIT и ITIL. Базовые решения методологии ITIL закреплены отдельными международными стандартами менеджмента услуг информационных технологий в организации из соответствующего семейства стандартов менеджмента ISO/IEC 20000 [21].
Каждая из спецификаций стандартов COBIT и ITIL включает серию объемных документов, подробно останавливаться на которых в формате данного издания не представляется необходимым. Стандарт COBIT претерпел уже 4-ю редакцию (в 2007 г. опубликована редакция 4.1), а спецификация ITIL — 3-ю.
В целом оба из отмеченных стандартизированных подходов (COBIT и ITIL) преследуют следующие общие цели использования информационных технологий в организациях:
— соответствие требованиям, предъявляемым высшим руководством организации;
— обеспечение прозрачности влияния на бизнес и рисков, связанных с ИТ;
— создание механизмов, гарантирующих достижение поставленных целей;
— повышение эффективности реакций на требования бизнеса и изменения в стратегии организации;
— обеспечение эффективной трансляции бизнес-требований в соответствующие возможности решений в сфере информационных технологий;
— интеграция приложений и информационных технологий в бизнес-процессы организации;
— обеспечение эффективных взаимоотношений с другими организациями;
— обеспечение прозрачности ИТ-расходов, потенциала, стратегии, политики и качества услуг;
— обеспечение учета и эффективного использования всех ИТ-активов;
— увеличение эффективности инвестиций в ИТ и вклада информационных технологий в общую эффективность бизнеса;
— оптимизация ИТ-инфраструктуры и ресурсов;
— обеспечение достоверности выполняемых автоматизированных транзакций;
— обеспечение адекватного противодействия ИТ неблагоприятным внешним и внутренним факторам;
— обеспечение требуемой доступности ИТ-услуг;
— поддержка целостности информации и инфраструктуры;
— обеспечение соответствия ИТ-деятельности законам и регулирующим нормам;
— обеспечение стабильного качества услуг, поддержка процесса непрерывного совершенствования.
Все перечисленные позиции органично развивают положения модели Комитета COSO, предлагая риск-ориентированный прагматичный подход к использованию организациями информационных технологий в контексте пользы и выгоды организации от их применения.
Оба стандарта базируются на модели непрерывного совершенствования (в спецификации ITIL явно указано на соответствие модели ИСО 9000; стандарт COBIT подобных формулировок не содержит, но фактически им соответствует).
Во введении стандарта COBIT отмечается, что его структура максимально адаптирована к поддержке структуре контроля для корпоративного управления организации и управления риском, изложенный в рекомендациях Комиссии COSO «Внутренний контроль — Интегрированная структура» и аналогичным руководствам.
Фундаментальным различием COBIT и ITIL является их происхождение, а следовательно, и специфика использования.
Заказчиком и спонсором спецификации ITIL являлись организации, использующие в своей деятельности информационные технологии. С позиций классики модели деятельности организации ИТ реализуют сервисную (вспомогательную) функцию к процессам формирования добавочной стоимости продукции и процессам корпоративного управления. Исключением может быть ситуация, когда основной целью деятельности организации является предоставление ИТ-услуг. Такие компании также присутствуют на рынке, но, как правило, для целей обслуживания крупного «материального бизнеса» (нефтяного или машиностроительного холдинга и т. п.). В таком видении вклада ИТ в обеспечение деятельности организации наиболее уместной представляется сервисная модель организации и реализации процессов менеджмента ИТ в организации со всеми вытекающими сущностями сервисной модели (планирование сервисов, требования к сервисам и т. п.). Именно такая модель положена в основу спецификации ITIL.
Положения стандарта COBIT не отвергают сервисной модели, даже рекомендуют ее к использованию совместно с COBIT. Однако общий взгляд на ИТ в стандарте COBIT несколько иной. Он как бы акцентируется на вопросах интеграции ИТ в общекорпоративный менеджмент, всецелом удовлетворении бизнес-требований и широком охвате контролем достижения целей. В положениях стандарта COBIT отмечается, что структура мер контроля COBIT способствует удовлетворению потребности системы внутреннего контроля организации посредством следующего:
— обеспечения связи с бизнес-требованиями;
— систематизации ИТ-деятельности в виде общепризнанной процессной модели;
— идентификации основных ИТ-ресурсов, которые должны использоваться;
— определения целей контроля управления, которые должны рассматриваться.
Для организации в целом, использование рекомендаций COBIT обеспечивает основу для:
— создания измеримой связи между бизнес-требованиями и ИТ-целями;
Читать дальшеИнтервал:
Закладка:
