Сергей Авдошин - Информатизация бизнеса. Управление рисками
- Название:Информатизация бизнеса. Управление рисками
- Автор:
- Жанр:
- Издательство:ДМК Пресс
- Год:2011
- Город:Москва
- ISBN:978-5-94074-109-1
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Авдошин - Информатизация бизнеса. Управление рисками краткое содержание
Проблема управления рисками при информатизации бизнеса является одной из наиболее актуальных и значимых в ИТ-индустрии. В предлагаемом учебно-практическом пособии, затронуты как теоретические, так и практические вопросы управления рисками, раскрывается специфика механизма управления рисками при реализации проектов в области информационных технологий.
В основу учебного пособия положен многолетний опыт преподавания авторами дисциплины «Управление рисками» на отделении программной инженерии Высшей школы экономики.
Книга предназначена для студентов магистратуры, обучающихся по направлениям 080500.68 «Бизнес-информатика» и 231000.68 «Программная инженерия», а также для ИТ-специалистов, разработчиков и заказчиков программных продуктов, менеджеров ИТ-проектов.
Информатизация бизнеса. Управление рисками - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
дополнительные устройства. Регламентация самостоятельной установки/подключения дополнительных устройств, таких как USB, Fire-Wire, LPT, COM, IrDA, HDD, Floppy, DVD/CD-ROM, Tape, Modem, Bluetooth, Wi-Fi, мобильные устройства, прочее.
В некоторых компаниях используются так называемые «белые списки» устройств (например, USB, CD/DVD), доступных к использованию в соответствии с политикой безопасности, регламентированных по определенному производителю, модели, серийному номеру или по пользователям/группам пользователей.
Также в политике безопасности могут быть прописаны следующие ограничения:
• запрет/контроль использования личных мобильных телефонов, фото– и видеотехники, переносных компьютеров, дополнительных устройств передачи информации;
• контроль помещений и использование видеонаблюдения;
• регламентация учета, хранения и использования, а также контроль за перемещением всех накопителей информации и средств вычислительной техники;
• ограничения использования факсов, модемов, телефонной связи;
• разграничение полномочий пользователей информационных систем при помощи ведения и контроля журналов доступа к критичным ресурсам и использования частных политик безопасности для всех операционных систем, программных комплексов, коммуникационного оборудования, сетей;
• контроль каналов печати: локальных, сетевых, виртуальных;
• регламентация жизненного цикла, в том числе утилизации цифровых и бумажных носителей информации.
Помимо организационных принципов информационной безопасности, целесообразно использовать технические меры в соответствии с утвержденной политикой ИБ. Введение технических ограничений на внешние носители, аппаратное и программное ограничение рабочих станций предусматривает обязательное шифрование и автоматизированный контроль использования внешних носителей с помощью специального ПО.
Техническое разграничение доступа к ресурсам сети Интернет (выделенные компьютеры либо терминальный доступ) и предоставление доступа только к необходимым ресурсам либо разграничение специальным ПО позволяет осуществлять контроль использования сети Интернет, исключение взаимодействия с внутренней сетью организации и передачу данных. С помощью технических средств возможны отключение неиспользуемых устройств, постоянный контроль конфигураций компьютеров, а также аппаратное (либо программное) отключение возможности подключения дополнительных устройств. Дополнительно применяются регламентация использования переносных компьютеров и внешних носителей информации, обязательное шифрование всей критически важной информации. Существует техническое ограничение использования факсов, модемов (на офисных АТС), учет/аудиозапись использования телефонной связи, исключение возможности использования личных мобильных телефонов, контроль использования копировальной техники с помощью установки на открытых пространствах и видеонаблюдения.
Еще одной технической мерой информационной безопасности являются хранение резервных носителей в безопасных хранилищах, физическая защита и проектирование и внедрение систем бесперебойного и гарантированного электропитания, контроля и управления доступом в помещения и к оборудованию, видеоконтроля и теленаблюдения.
Разграничение доступа пользователей информационных систем, адекватная настройка систем безопасности операционных систем, программных комплексов, коммуникационного оборудования, своевременное обновление систем безопасности и использование систем обнаружения/предотвращения вторжений позволит снизить уязвимость информационных систем на техническом уровне.
Для своевременного отслеживания угроз информационной безопасности предусмотрены специальные технологии обнаружения, а именно:
• компьютерные программы для выявления, нейтрализации или устранения вредоносных программ (антивирусное ПО);
• системы обнаружения вторжений (СОВ), которые собирают и анализируют информацию из различных областей компьютера или сети для выявления возможных нарушений в системе безопасности;
• системы предотвращения вторжения (СПВ), которые определяют потенциальные угрозы и реагируют на них прежде, чем они будут использоваться при атаках.
Действия по эффективному управлению системы информационной безопасности должны включать регулярное планирование и организацию работ с достижением поставленных целей, разработку и регулярный пересмотр политик и процедур ИБ. После разработки или пересмотра политики ИБ необходимы вовлечение всех сотрудников в процесс обеспечения безопасности, ознакомление с документами, проведение тренингов, назначение ответственных за безопасность в отдельных сегментах. Определение четкой структуры и распределение полномочий и ответственности за ИБ позволит создать систему отчетности с прописанными показателями обеспечения ИБ и на ее основе осуществлять контроль выполнения работ.
К ключевым факторам успеха системы информационной безопасности можно отнести:
1) регулярный пересмотр политики информационной безопасности;
2) вовлечение всех сотрудников в процесс обеспечения информационной безопасности;
3) своевременность обнаружения и прогнозируемость развития проблем, оценку влияния проблем на бизнес-цели и управление непрерывностью бизнеса компании.
Глава 7
Организационные аспекты разработки ПО и внедрения ИТ-систем
7.1. Организация управления рисками в команде проекта
Люди – один из факторов успеха любого проекта, поэтому в ИТ-проектах «человеческий фактор» играет важнейшую роль как в процессе выбора и внедрения информационной системы или решения, так и в процессе их последующей эксплуатации и использования всеми сотрудниками компании.
С организационной точки зрения, сложность ИТ-проекта заключается в большом количестве участников (заказчики, спонсоры, консультанты, члены проектной команды, ИТ-служба заказчика, представители функциональных подразделений, эксперты и др.). Основные организационные проблемы, с которыми сталкивается ИТ-проект, происходят из-за того, что в проекте не до конца определены роли и ответственность, не прописаны санкции за несвоевременное или некачественное выполнение задач, отсутствует система развития, обучения и мотивации сотрудников.
Еще одна сложность состоит в том, что процесс внедрения, занимающий достаточно много времени, протекает одновременно с выполнением сотрудниками своих повседневных обязанностей. Несмотря на то что сотрудники вынуждены выполнять дополнительные функции и отчитываться перед проектным менеджментом, требования со стороны их непосредственного руководства не уменьшаются.
Читать дальшеИнтервал:
Закладка:
