В. Андрианов - Обеспечение информационной безопасности бизнеса
- Название:Обеспечение информационной безопасности бизнеса
- Автор:
- Жанр:
- Издательство:ООО «Центр исследований платежных систем и расчетов», «Альпина»
- Год:2011
- Город:Москва
- ISBN:978-5-9614-1364-9
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
В. Андрианов - Обеспечение информационной безопасности бизнеса краткое содержание
Данную книгу можно назвать практической энциклопедией. В ней дан максимальный охват проблематики обеспечения информационной безопасности, начиная с современных подходов, обзора нормативного обеспечения в мире и в России и заканчивая рассмотрением конкретных направлений обеспечения информационной безопасности (обеспечение ИБ периметра, противодействие атакам, мониторинг ИБ, виртуальные частные сети и многие другие), конкретных аппаратно-программных решений в данной области. Книга будет полезна бизнес-руководителям компаний и тем, в чью компетенцию входит решение технических вопросов обеспечения информационной безопасности.
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то ни было форме и какими бы то ни было средствами, включая размещение в сети Интернет и в корпоративных сетях, а также запись в память ЭВМ для частного или публичного использования, без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной библиотеке издательства обращайтесь по адресу lib@alpinabook.ru.
Обеспечение информационной безопасности бизнеса - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
— предоставления инструментальных средств для руководства;
— установления целей и метрик, позволяющих оценивать функционирование ИТ;
— использования моделей зрелости, позволяющих проводить сравнительный анализ возможностей процессов;
— применения ролевых нотаций «Ответственность, подотчетность, консультирование и информирование» для прояснения ролей и обязанностей персонала организации.
В качестве преимуществ реализации COBIT как структуры корпоративного управления ИТ в стандарте отмечается:
— лучшая синхронизация бизнеса и ИТ на основе сосредоточения на бизнесе;
— общее понимание среди всех причастных сторон, основанное на общем языке;
— понимание бизнес-руководством того, что поддерживается и реализуется средствами ИТ;
— четкие обязанности и принципы владения на основе процессной ориент ации;
— широкое признание третьими сторонами и регулятивными органами;
— удовлетворение требований COSO для среды контроля ИТ.
Общую спецификацию процессов COBIT иллюстрирует рис. 47.
Комплекс документов стандарта COBIT включает руководства для многих заинтересованных сторон. Документы COBIT систематизированы по следующим трем уровням (см. рис. 48), предназначенным для поддержки:
— исполнительного высшего руководства организации и правления;
— бизнес-руководителей и ИТ-руководства;
— специалистов в сфере корпоративного управления, доверия, контроля и безопасности.
Существуют также производные продукты (руководства) для определенных целей, например, документы, которые рассматривают:
— цели контроля ИТ (на основе COBIT) для Закона Сарбейнса — Оксли;
— базовый уровень безопасности и менеджмент информационной безопасностью COBIT: руководство для совета директоров и исполнительного руководства;
— руководство к COBIT для малых и средних предприятий или больших предприятий, стремящихся достичь более широкой реализации корпоративного управления ИТ.
Все компоненты COBIT взаимосвязаны и предназначены для поддержки потребностей в корпоративном управлении, управлении, контроле и доверии различных заинтересованных сторон (см. рис. 49).
COBIT — это структура и совокупность поддерживающих механизмов и технологий, которые позволяют руководителям ликвидировать расхождения в отношении требований контроля, технических вопросов и бизнес-рисков и информировать об этом уровне контроля причастные стороны.
Практическая сторона использования любой рассмотренной стандартизированной спецификации ИТ, как COBIT, так и ITIL и иных подобных, в конечном случае сопряжена с оценками и измерениями в операционной среде организации. Только информация контроля может показать, насколько планы предприятия реализованы. Только данные по измерениям могут показать «на сколько» планы реализованы или перевыполнены. Тот же COBIT иллюстрирует данный тезис, как показано на рис. 50.
В конечном итоге информация контроля и данные измерений и оценки имеют ценность в организации ровно настолько, насколько ее способна «переварить» система корпоративного контроля и управления.
Измеренное (оцененное) значение «0,8», «40», «70 %» без контекста, сопровождающего данное значение оценки, абсолютно бесполезно для системы принятия решений организации (надо что-то делать или, может, подождать). Более того, оно вредно, так как сопровождается затратой ресурсов организации (операционной среды и системы управления), если только наличие какой-либо оценки не является основной целью такой оценки.
В вопросах совершенствования необходимы сведения об ожиданиях (целях и задачах), имевших место при планировании работ. Тогда контроль и измерения в таких условиях сопровождаются платформой и семантикой предполагаемой шкалы и методов контроля и измерения.
При следовании организацией рекомендациям модели Комитета COSO в системе корпоративного менеджмента функциональные и обеспечивающие подразделения, а также ее высшее руководство получают возможность использования в своей практике соответствующих их деятельности моделей непрерывного совершенствования. Наряду с этим и высшее руководство потенциально способно эффективно управлять и адекватно реагировать на события в своей операционной среде и среде бизнеса своей организации. В таких условиях возможно максимально эффективное использование практически любого стандартизированного решения, реализующего модели непрерывного совершенствования, как для сферы обеспечения информационной безопасности бизнеса, так и для информатизации и контроля информационных технологий. Более того, это позволяет выстраивать максимально эффективные и результативные «горизонтальные» связи, например, между подразделениями информатизации и безопасности в контексте общих принципов корпоративного менеджмента и контроля достижения целей деятельности организации.
Далее рассмотрим возможные подходы к измерениям и контролю в моделях непрерывного совершенствования, включая совершенствования системы менеджменты информационной безопасности бизнеса.
2.4. Контроль и аудит (оценки, измерения) в моделях менеджмента (управления)
Измерения и контроль в моделях менеджмента предназначены для удовлетворения информационных потребностей тех или иных заинтересованных сторон в информации, касающейся функционирования объекта измерения и контроля. Все результаты измерений и контроля имеют информационную природу. Потребители информации (заинтересованные стороны) могут быть как внутренними (органы управления и контроля, сервисные подразделения и т. п.), так и внешними (собственники/акционеры, органы надзора и регулирования, инвесторы и т. д.) по отношению к организации.
В вопросах совершенствования деятельности организации информация измерений и контроля необходима в том числе и для актуализации виртуальной модели материального мира, используемой органами управления в системе принятия решений. В случаях, если поступающие данные от измерений и контроля в организации «не ложатся» (не находят своего места) в виртуальной модели материального мира органа управления, они не могут быть им использованы, а следовательно, являются бесполезными. В связи с этим все затраты организации на осуществление таких измерений можно относить к ущербу (упущенной выгоде, уменьшенной добавочной стоимости и т. п.).
Читать дальшеИнтервал:
Закладка:
