Обеспечение информационной безопасности бизнеса - [37]

Шрифт
Интервал

Однако, даже если высшее руководство понимает и принимает ответственность за систему менеджмента в организации, у него нет возможности участия во всех мероприятиях. По этой причине руководство должно первоначально установить политику системы менеджмента информационной безопасности, определяющую основные цели и ожидания от СМИБ с точки зрения совершенствования деятельности организации, тем более если внедряется «стандартизированная» СМИБ. «Нестандартизированная СМИБ» существует в любой организации (принимаются решения и внутренние нормативы, осуществляются инвестиции в ИБ, осуществляется контроль исполнения требований и т. д.). Это следует понимать и учитывать в проектах модернизации.

Например, в рамках инвестиций в информационные технологии многие организации явно или неявно осуществляют внедрение ряда функций и механизмов, имеющих отношение к обеспечению ИБ. Далее, организуя их использование в составе прикладных систем или информационно-телекоммуникационной инфраструктуры организации, де-факто осуществляются те или иные практические задачи, подпадающие под положения стандартов требований к СМИБ.

Схематично данную ситуацию иллюстрирует рис. 26, отражающий в упрощенном виде категории управления в информационной сфере организации.

И корпоративное управление информационными технологиями, и корпоративное управление информационной безопасностью являются неотъемлемой частью корпоративного управления компании, имеющие как общности (общие факторы: объекты, предметы, отношения и т. п.), так и различия. Опыт, накопленный в последние десятилетия, позволил подойти к выработке и принятию международных модельных стандартов корпоративного управления информационными технологиями.

Рис. 27 иллюстрирует модель корпоративного управления ИТ, рекомендуемую принятым в 2008 г. международным стандартом ISO/IEC 38500 «Корпоративное управление информационными технологиями» [12].

Модель корпоративного управления ИТ, представленная на рис. 27, отражает тот факт, что в любой деятельности организации изначально присутствует этап инвестиций (в той или иной форме), в результате которого организация ожидает, что эти инвестиции принесут пользу и дадут положительный эффект. Применительно к корпоративному управлению ИТ это включает:

— проекты организации в сфере информационных и телекоммуникационных технологий — этап инвестиций в операционную ИТ-среду;

— операции в сфере (эксплуатация поставленных) информационных технологий организации — этап возврата инвестиций. В сфере информационных технологий возврат инвестиций может быть представлен в виде: новой функциональности организации (подразделений), повышения надежности и безопасности систем информационных технологий и информационной составляющей процессов деятельности, сокращения эксплуатационных издержек и т. п.


Возможно, подобные модельные рекомендации будут приняты и для сферы корпоративного управления информационной безопасностью, включая место и роль стандартизированных требований к СМИБ в системе корпоративного управления. На рис. 28 представлена возможная модель корпоративного управления информационной безопасностью организации, согласующаяся с признанной моделью корпоративного управления информационными технологиями в организации, нашедшей отражение в ISO / IEC 38500.

В любом случае должны быть идентифицированы роли и функции органов управления компании и вопросы смежных областей. Одно из возможных модельных решений применительно к архитектуре корпоративного управления информационной безопасностью представлено на рис. 29.

В конечном итоге наиболее критичным вопросом и одной из важнейших задач высшего руководства является обеспечение таких бизнес-ресурсов, как «люди», «предметы» и «деньги». В конечном итоге успех дела (в данном случае эффективность затрат в СМИБ организации), как и в традиционном бизнесе, будет зависеть от достаточности ресурсной поддержки. При этом крайне чувствительным и одновременно сложным здесь является вопрос о достаточности ресурсной поддержки (как установить порог/критерий, характеризующий, что «все заработало»). Современные стандарты СМИБ включают такие формулировки: руководство должно понимать потребности системы менеджмента информационной безопасности и предоставлять для нее необходимые бизнес-ресурсы.

Однако значение того, сколько составляет «необходимое» и «достаточное», стандартами установлено быть не может. Есть «микро» предприятия, есть средние и большие. При этом градации сегментов: малое предприятие, среднее и большое — в некоторой степени абстрактны и имеют различия от вида и сферы деятельности (бизнеса) организации. В различных странах (и в России, в частности) существует формальное определение малого предприятия для целей льготного налогообложения, но это все-таки достаточно условная градация, с порогами, устанавливаемыми от годового дохода компании. В то же время с развитием технологий и вынужденной унификацией отдельных задач данные абстрактные критерии все же получают вполне возможное содержанием для отдельных областей.

Например, в сфере информационных технологий в начале 2000-х гг. стал формироваться срез (где-то клон) стандартов информатизации для объектов, получивших наименование «очень малая организация (предприятие)» (Very Small Enterprises (VSE)). С практической точки зрения это вполне оправдано: в мире многим миллионам микрокомпаний (а это тот срез экономики, что генерирует несколько десятков процентов всего мирового ВВП) требуется иметь автоматизированную бухгалтерию, выход в Интернет (электронная почта, электронные торги и т. п.), автоматизированный учет кадров и т. п. При этом классические полные циклы инвестиций в информатизацию и их возврата, а также классика менеджмента информационными технологиями, процессами жизненного цикла систем и программных средств со всеми вытекающими атрибутами для них «неприподъемны». В будущем, возможно, и в сфере требований к СМИБ организаций и задачам корпоративного управления ИБ будет обращено внимание к сегменту VSE. Однако область безопасности чрезвычайно чувствительная и специфичная и консенсус здесь найти не так-то просто. Многие защитные меры ИБ в организациях сегмента VSE реализуются механизмами бизнеса (доверие, гарантии, страхование, аутсорсинг). Такие решения сложно облачить в форму универсальных стандартов СМИБ для VSE.

Продолжить чтение
Рекомендуем почитать
Основы национальной и региональной экономики. Учебное пособие

Наряду с традиционными вопросами большое внимание уделено рассмотрению современных проблем экономики России и её регионов, повышению социально-экономической эффективности, конкурентоспособности страны. Освещены региональные аспекты народнохозяйственной организации: территориально-экономическое районирование, особенности функционирования региональных хозяйств, экономический потенциал регионов в системе потенциалов России, межбюджетные отношения, социально-экономические проблемы регионов.Для студентов бакалавриата, обучающихся по направлению "Экономика".

Экономика города: учебное пособие

Анализируется развитие городов разных исторических эпох (от античности до наших дней). Особое внимание уделяется экономическим особенностям функционирования российских городов. Приводится современная классификация населенных мест в России с учетом их экономико-географического положения, развития промышленного производства, специфики демографических процессов. Отдельные главы посвящены вопросам муниципального управления и самоуправления, развитию жилищно-коммунального хозяйства, бюджетным системам муниципальных образований, целевым программам развития столичного мегаполиса и малых городов, концепциям инновационной политики г.

Северный Кавказ. Модернизационный вызов

В книге дается представление авторов об экономике Северного Кавказа, существенно отличающееся от общепризнанного. Под вопрос ставятся многие сложившиеся мифы и стереотипы – тотальная депрессивность; масштабы безработицы и бедности; наличие барьеров, полностью исключающих модернизацию; дефицит финансовых средств как основная причина недостаточного экономического развития. Формулируются базовые принципы регионального развития, альтернативные традиционно принятым в северокавказской политике, предлагаются меры по их реализации.

Путь в Европу

Книга «Путь в Европу» объединяет материалы инициированного Фондом «Либеральная миссия» цикла дискуссий между российскими экспертами и представителями стран Восточной Европы и Балтии, вошедших в последние годы в состав Европейского союза. В центре внимания дискуссий – экономические и политические реформы, которые эти страны осуществили в течение последних 20 лет.

Национальная геополитика

Только в возвращении к геополитической концепции Петра Великого видится выход из того состояния катастрофического геополитического ослабления России, которое произошло за последние два десятилетия. Развитие этой концепции для применения в современных условиях становления нового, национально-городского русского государства и осуществлено в основополагающей работе русского национализма - "НАЦИОНАЛЬНАЯ ГЕОПОЛИТИКА". Она состоит из двух частей.  "РУССКАЯ НАЦИОНАЛЬНАЯ ГЕОПОЛИТИКА" и"СОЦИАЛЬНАЯ ГЕОПОЛИТИКА".

О национализации

В этой работе впервые преодолевается путаница в понятии национализация, повсеместной как в России, так и на Западе. Теоретически объясняется, что такое национализация, чем она отличается об бюрократического огосударствления собственности. А так же доказывается, когда и почему в России неизбежна национализация, как непременное условие для перехода от спекулятивно-коммерческого к промышленному капитализму, капитализму товарного производства. Книга написана в 1997 году. Но именно сейчас, в начале 2013 года, когда уже для многих становится очевидным необратимый кризис режима чиновно-полицейской спекулятивно-коммерческой олигархии, она становится политически злободневной.