2.2.4. Реализация моделей менеджмента в целевых задачах организации («частные менеджменты»)
2.2.4. Реализация моделей менеджмента в целевых задачах организации («частные менеджменты»)
При рассмотрении примера будем исходить из взаимосвязанной деятельности по менеджменту инцидентов и мониторингу, показанной на рис. 44. При этом процессы цикла Деминга — Шухарта применительно к менеджменту инцидентов называются в соответствии с международным документом [15].
В процессе реагирования на инцидент ИБ в соответствии с документом [15] предусматриваются процедуры пересмотра и улучшения процессов менеджмента инцидентов ИБ как на регулярной основе (периодически), так и по результатам обработки любого существенного инцидента ИБ. Завершающий отчет по каждому инциденту ИБ сохраняется в базе данных инцидентов ИБ (см. рис. 44, 43) и включает данные, которые могут быть использованы в будущем при обработке подобных инцидентов, включая их предвестники и признаки.
Предложения по улучшению должны отражать вопросы о дополнительном инструментарии или ресурсах, обучении персонала и т. п., т. е. все, что необходимо для принятия решений, направленных на выбор и реализацию мер по совершенствованию:
— менеджмента инцидентов ИБ;
— оценки рисков ИБ;
— инициирования улучшений безопасности, обновления и (или) реализации новых защитных мер ИБ и в итоге совершенствования СМИБ.
Документы, выпускаемые в процессе менеджмента инцидентов, фактически являются событиями, инициирующими процессы в других частных менеджментах, поскольку служат источниками сигнала для инициирования иных работы. Например, в процессе менеджмента информационных активов будет определена структура активов, их ценность, важность, приоритеты свойств безопасности, уязвимости и другие свойства. Однако большая часть этих свойств определяется экспертным путем или получается в результате опроса, т. е. может носить неточный или субъективный характер. Один из путей проверки объективности этих данных — использование фактического материала, сопровождающего факты инцидентов или содержащегося в периодических аналитических отчетах. Документы, появляющиеся в процессе менеджмента инцидентов, являются входными для процесса проверки при менеджменте активов (см. рис. 43, поток от процесса «Пересмотр» в менеджменте инцидентов к процессу «Проверка» в менеджменте активов). При проверке будет выяснено, какая конкретно уязвимость была использована в инциденте, какие еще информационные активы были затронуты, были ли предвестники, насколько быстро удалось выделить все признаки инцидента и понять, как его сдерживать, каков ущерб в результате произошедшего инцидента, насколько быстро восстановлена функциональность, связанная с активом, и т. п. Эти данные позволят скорректировать (процесс «Совершенствование») свойства вовлеченных в инцидент активов и, возможно, их структуру, реальную ценность и важность.
По результатам менеджмента инцидентов корректируются также и перечень факторов риска, менеджмент которых на рис. 43 включен в менеджмент риска. Однако изменение актуальности факторов риска или появление новых источников рисков, методов атак и т. п. должно приводить к переоценке риска.
Изменение защитных мер, регламентов и ролей неизбежно отражается на менеджменте инцидентов. Таким образом, цикл замкнулся. Если, к примеру, в процессе «Пересмотр» менеджмента инцидентов появилась рекомендация о включении дополнительного параметра мониторинга на сервере системы, то этот вопрос, скорее всего, нельзя решить в рамках менеджмента инцидентов.
Описанная событийная схема инвариантна к организационной структуре операционной среды. Она отражает основной смысл «процессного подхода» — ориентацию на результат. В практике наибольшую сложность вызывает вопрос отображения необходимых работ на должностные обязанности персонала. Например, совсем не обязательно, чтобы менеджмент защитных мер осуществлялся в рамках деятельности службы информационной безопасности компании. Более того, он может быть разнесен по нескольким подразделениям службы информатизации в соответствии с функционалом этих защитных мер (антивирусная защита, телекоммуникации, серверное хозяйство и т. п.).
На практике организационная составляющая обеспечения информационной безопасности бизнеса чрезвычайно разнообразна. Профильные структуры и подразделения, за которыми формально закреплены обязанности по обеспечению информационной безопасности бизнеса, могут быть организованы как:
— самостоятельное подразделение в структуре службы безопасности организации;
— отдел в подразделении экономической безопасности;
— отдел в структуре службы информатизации банка;
— отдельная группа в составе подразделения риск-менеджмента компании.
Последний вариант не гипотетический, а совершенно реальный, и не экзотический, а достаточно распространенный и имеющий свои уникальные сильные и слабые стороны. Обусловлен он, как правило, ситуацией, когда служба безопасности организации комплектуется только отставными офицерами силовых ведомств, которые прекрасно владеют навыками и приемами решения «классических» задач безопасности (физическая защита, видео/аудио и т. п.), но имеют сложности в обращении со средствами и системами вычислительной техники, составляющими в настоящее время значимую часть информационной сферы компаний.
В этих условиях руководство организации вынуждено рассматривать альтернативные варианты размещения в операционной среде компании «функции обеспечения информационной безопасности», исходя из собственного понимания возможного вклада и содействия этой функции результатам деятельности организации.
С точки зрения бизнеса и высшего руководства организации процедуры, меры и средства обеспечения информационной безопасности деятельности в конечном итоге предназначены для контроля рисков бизнеса (деятельности) организации, проистекающих от факторов рисков в информационной сфере. При таком видении вопроса принципиальной важности не составляет вопрос о том, где учредить орган ответственности за «функцию обеспечения информационной безопасности», значимым является в итоге лишь то, чтобы эта функция работала, как ожидается, и приносила пользу организации.
Более того, «функция обеспечения информационной безопасности» в современных условиях во многих организациях, в особенности в так называемых «развитых странах», понимается как интегрирующая платформа всех средств контроля информационных технологий и иных видов деятельности в организации (см. рис. 26). Обеспечение информационной безопасности относится и к инфраструктуре, и к данным и формирует основу эффективности, за редким исключением, большинства иных используемых в организации средств системы внутреннего контроля, представляя ей необходимую документальную фактуру по реальным событиям в операционной среде организации. Исключение, например, могут составлять средства контроля, связанные с финансовыми аспектами ИТ (например, средства контроля рентабельности инвестиций, средства контроля бюджета обслуживания и поддержки стоимости владения), некоторые средства контроля управления проектами внедрения средств и систем автоматизации и информатизации деятельности организации.
Это нашло свое отражение и в международных стандартах менеджмента и обеспечения информационной безопасности, формируя некие единый язык общения различных подразделений организации, следующих таким стандартам. Данное обстоятельство не в последнюю очередь послужило росту популярности на стыке XX и XXI вв. британского стандарта BS 7799 «Системы менеджмента информационной безопасности». В его положениях, возможно, впервые в международной практике был предложен понятийный аппарат области информационной безопасности, где «традиционные» средства и меры защиты и обеспечения информационной безопасности были обозначены как «меры контроля [рисков]» деятельности организации.
В последних редакциях действующих международных стандартов и во вновь принимаемых документах на уровне определения базовых понятий были объединены и рассматриваются в качестве синонимов такие понятия, как «контроль» и «защитная мера». Например, ГОСТ Р ИСО/МЭК 13335-1-2006 [17] (гармонизированный международный стандарт) вводит следующие понятия:
«2.7 контроль (control): — [нет определения понятия]
Примечание — В контексте безопасности информационно-телекоммуникационных технологий термин «контроль» может считаться синонимом «защитной меры» (см. 2.24).
2.24 защитная мера (safeguard): Сложившаяся практика, процедура или механизм обработки риска.
Примечание — Следует заметить, что понятие «защитная мера» может считаться синонимом понятию «контроль» (см. 2.7)».
Другой международный стандарт ISO/IEC 27002 [18], включающий структурированный каталог защитных мер для использования в системах менеджмента информационной безопасности, предлагает следующее понятие, характеризующее то, что включает и устоявшееся понятие «защитная мера»:
«Мера контроля (control) — средство менеджмента риска, включающее в себя политики, процедуры, рекомендации, инструкции или организационные структуры, которые могут иметь административную, техническую, управленческую или правовую сущность.
Примечание — Термин «мера контроля» может использоваться также в качестве синонима к терминам «защитная мера» (safeguard) или контрмера (countermeasure)».
При этом в положениях ISO/IEC 27002 [18] отмечается, что следующие меры контроля рассматриваются как общепринятая практика в области информационной безопасности («джентльменский набор» для «публичных» компаний):
а) наличие документа, описывающего политику информационной безопасности;
б) распределение обязанностей по обеспечению информационной безопасности;
в) обеспечение осведомленности, образования и обучения вопросам информационной безопасности;
г) правильная обработка данных в приложениях;
д) менеджмент технических уязвимостей;
е) менеджмент непрерывности бизнеса;
ж) менеджмент инцидентов, связанных с информационной безопасностью, и действий по улучшению реагирования на них.
Даже перечисленные категории защитных мер («мер контроля и управления рисками» в терминах современных стандартов), несмотря на их скромную номенклатуру, серьезным образом влияют на всю операционную среду организации. При этом основным их назначением является формирование оснований для уверенности высшего руководства (собственников бизнеса) в надежности (адекватности, устойчивости, безопасности и т. д.) операционной среды организации, касающееся ее информационной составляющей. Те же цели в своей деятельности преследует и система (подразделение) внутреннего контроля организации, и система (подразделение) менеджмента рисков организации. Все это приводит к необходимости четкого позиционирования и понимания потенциального вклада перечисленных направлений деятельности подразделений организации в формирование единой системы мер гарантий и уверенности в достижении заявленных целей. Это предполагает также и противодействие на всех уровнях неправомерным (преднамеренным и /или случайным) действиям сотрудников компаний и внешних лиц, способных привести к негативным последствиям как для организации, так и для ее клиентов, инвесторов и т. п. Методам и мерам контроля рисков деятельности для организации в целом, а также процессам деятельности в сфере информатизации организации посвящены модельные решения, нашедшие отражение в ряде авторитетных источников, например, таких, которые известны как COSO, COBIT, ITIL.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Заявление о целях и задачах
Заявление о целях и задачах Поразмыслив, Том достает написанное им вместе с другими ведущими специалистами заявление о целях и задачах «Веселых игрушек» и читает его, наверное, в тысячный раз, хотя уже и выучил к тому времени наизусть. Наши цели и задачи Мы будем
Значение заявления о целях и задачах
Значение заявления о целях и задачах Сегодня в деловом мире принято составлять заявления о целях и задачах компании. Поначалу многие из этих документов были нацелены на усиление мотивации служащих. Они помогали работникам лучше понять проводимый их компанией курс и то,
Заявления о целях и задачах важны для бизнеса
Заявления о целях и задачах важны для бизнеса Бывший специалист по стратегическому планированию компании Royal Dutch Shell Арье де Гейз в своей книге «The Living Company» («Живая компания»)[49] пишет: «Заявления о целях и задачах нередко справедливо критикуют за то, что в них как будто бы
От заявления о целях и задачах – к важнейшим особенностям компании
От заявления о целях и задачах – к важнейшим особенностям компании В офисе «Веселых игрушек» Том Хоффман перечитывает заявление о целях и задачах своей компании, и взгляд его снова и снова останавливается на слове «уникальный». «Мы утверждаем, что „Веселые игрушки”
Приложение 5 Уровни развития системы риск-менеджмента в зависимости от размера и стадии развития организации
Приложение 5 Уровни развития системы риск-менеджмента в зависимости от размера и стадии развития
96. Этапы организации риск-менеджмента
96. Этапы организации риск-менеджмента Процесс управления рисками можно поделить на несколько этапов.Первый этап организации риск-менеджмента – определение цели риска и цели рисковых вложений капитала. Цель риска – это результат, который необходимо получить. Им может
73. Этапы организации риск-менеджмента
73. Этапы организации риск-менеджмента Процесс управления рисками можно поделить на несколько этаповПервый этап организации риск-менеджмента – определение цели риска и цели рисковых вложений капитала. Цель риска – это результат, который необходимо получить. Им может
6. Альтернатива посредничеству – реализация продукции собственного производства через магазины, принадлежащие организации
6. Альтернатива посредничеству – реализация продукции собственного производства через магазины, принадлежащие организации 6. 1. Общие положенияВ ряде случаев для увеличения объема выручки от реализации продукции, а также для формирования у покупателей достоверной
69. Этапы организации риск-менеджмента
69. Этапы организации риск-менеджмента Процесс управления рисками можно поделить на несколько этаповПервый этап организации риск-менеджмента – определение цели риска и цели рисковых вложений капитала. Цель риска – это результат, который необходимо получить. Им может
2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации
2.1.2. Вопросы реализации моделей непрерывного совершенствования и процессного подхода в организации В практической деятельности при работе над внедрением в различных организациях систем менеджмента информационной безопасности, систем менеджмента информационными
Извлекайте наибольшую пользу из тайм-менеджмента и организации деятельности
Извлекайте наибольшую пользу из тайм-менеджмента и организации деятельности Очень неприятно, когда проработаешь целый день, устав до изнеможения, но при этом испытываешь ощущение, что ничего толком не сделал. Со многими ведь такое случалось: встаешь рано утром, едешь на
3 ЦЕЛИ И ЗАДАЧИ МЕНЕДЖМЕНТА. ОБЪЕКТ И СУБЪЕКТ МЕНЕДЖМЕНТА
3 ЦЕЛИ И ЗАДАЧИ МЕНЕДЖМЕНТА. ОБЪЕКТ И СУБЪЕКТ МЕНЕДЖМЕНТА Задача менеджмента как науки заключается в развитии теории управления. Практика менеджмента имеет связь с использованием теоретических положений в конкретной работе по управлению предприятиями и обобщением
3. Основы организации налогового менеджмента
3. Основы организации налогового менеджмента Специфика субъекта и объекта, целей и задач управления на макро– и микроуровне обусловила выделение в общей системе налогового менеджмента двух звеньев – государственного и корпоративного.В рамках государственного
Стили менеджмента и неправильного менеджмента
Стили менеджмента и неправильного менеджмента Разница между грамотными менеджерами и неправильными менеджерами в том, что последние не владеют некоторыми обязательными для управленца ролями, они не способны их исполнять вовсе. В таблице, представленной ниже, мы можем
Результаты в задачах, соответствующих цели
Результаты в задачах, соответствующих цели Знаменитые топ-менеджеры и сильные руководители среднего звена зарабатывают себе превосходную репутацию тем, что могут сформулировать амбициозное, побуждающее к действию видение (высшую цель), у которого есть большой шанс
Результаты при ясных задачах
Результаты при ясных задачах Команда будет следовать за вами повсюду, если вы станете руководить ею честно. Покажите коллегам вашу карту задач и попросите представить их идеи. Если вы позволите им распоряжаться своими обязательствами, они последуют за вами до завершения