Обеспечение информационной безопасности бизнеса
Шрифт:
Лица органов управления организации соответствующего уровня устанавливают нормы и требования к организации и реализации деятельности в подразделениях организации (эталон), отражающие видение руководства того, что и как должно осуществляться в подразделениях организации для достижения поставленных целей. Это может включать нормы и требования организации функционирования и совершенствования деятельности объекта, нормы и требования риск-менеджмента объекта и т. д. Установление лицами органов управления организации норм и требований к организации и реализации деятельности в
Задачи контроля и измерений достигнутых результатов формулируются в терминах информационной потребности в информации результатов тех или иных видов оценок. Потребность представляет собой понимание, включающее необходимость выявления и разрешения целей, задач, рисков и проблем. Для реализации данной потребности определяются цели, объекты и предмет измерений и контроля. Они наряду с эталоном предопределяют модель оценки, включающую установление того, что и как может быть проверено, учитывая аспекты достоверности и правила реализации сбора сведений и их анализа, оценивания (вычисления качественных и /или количественных значений) и интерпретации результатов.
Модели и методы измерений и контроля могут быть отражены в любой форме, в том числе и в виде отдельного документа. Уровень формализации моделей и методов измерений и контроля может быть любым, при условии, что он позволяет использовать данные модели и методы в операционной среде организации на объектах оценки. Композиция эталона и оценочной модели и методов измерений и контроля образуют основу для формирования и использования методической базы (методики, регламенты, инструментальные средства), что формирует основания для проведения практической деятельности на объектах. Эталон в обязательном порядке должен учитываться при формировании методик оценки объекта, так как в противном случае будет затруднительно отобразить и интерпретировать результаты измерений и контроля в терминах того, что должно было быть выполнено на объекте относительно результатов измерений.
Методическое обеспечение определяет структуру и форму результатов измерений и контроля, которые должны удовлетворять потребностям лиц органов управления организации и могут быть интерпретированы для дальнейшего использования. Применение методик на объектах в условиях регламентированных процедур, отвечающих установленным и признаваемым в организации принципам и методам измерений и контроля, должно позволить сформировать результат требуемого качества, удовлетворяющего информационным потребностям.
Результаты измерений и контроля, формируемые на основе полученных с объекта данных измерений и контроля, должны отвечать заявленной информационной потребности и позволять использовать их лицами органов управления организации для совершенствования деятельности (или в иных целях, например, для передачи третьим лицам).
Важным моментом для практики инициирования новых видов проверок (измерений и способов контроля и оценки) является адекватность текущего установленного эталона (действующих норм и требований, предопределяющих деятельность объектов оценки) сформулированной информационной потребности. Существующий эталон, устанавливая правила функционирования объекта, одновременно задает рамки ограничений на возможные информационные потребности лиц органов управления организации в оценочных категориях и возможные ожидания, имеющиеся относительно различных видов измерений и контроля.
Так, например, на практике встречаются ситуации, когда лица органов управления организации в силу различных обстоятельств формулируют потребности в проверках и оценках по некоторой общепризнанной стандартизированной модели (COBIT, ITIL, ISO/IEC 27001, ISO/IEC 20000 и т. д.). В этом случае, если текущая деятельность организации (существующий эталон) определяет порядок разработки, поставки
Ряд стандартизированных решений менеджмента ИТ и ИБ организации наряду с требованиями менеджмента включает и критерии и методы измерений и контроля (оценки). Среди них можно отметь те же COBIT и ITIL, ISO/IEC 27001, международные стандарты процессного подхода (процессов жизненного цикла ИТ) 15288 (систем) и 12207 (программного обеспечения) и др.
Для целей измерений в стандартах процессного подхода (процессов жизненного цикла ИТ) 15288 (систем) и 12207 (программного обеспечения) еще в 2002 г. был принят международный стандарт ISO/IEC 15939 [22] «Проектирование систем и программного обеспечения — процесс измерения» (пересмотренный пять лет спустя). Данный международный стандарт определяет мероприятия и задачи, необходимые для реализации процесса измерения. Мероприятие — это совокупность взаимосвязанных задач, способствующая достижению назначения и результатов процесса измерения. Задача — строго определенная часть работы. Каждое мероприятие состоит из одной или более задач. Модель процесса измерений по ISO/IEC 15939 иллюстрирует рис. 52.
Как показано на рис. 52, процесс измерений по ISO/IEC 15939 включает четыре целевых вида деятельности (мероприятия). Мероприятия упорядочены в итеративном цикле (подобном циклу Деминга), предусматривающем постоянную обратную связь и совершенствование процесса измерения. Работы в рамках мероприятий также являются итеративными.
Блок «Технические процессы и процессы менеджмента» организационной единицы или проекта выходят за рамки положений данного стандарта, хотя они являются важным внешним связующим звеном с мероприятиями измерений. Два мероприятия считаются относящимися к основному процессу измерения: планирование процесса измерения и выполнение процесса измерения. Эти мероприятия в основном уделяют внимание интересам пользователя измерений. Два других мероприятия — установление и поддержка приверженности измерениям и оценивание измерений — обеспечивают основу для основного процесса измерения и обратную связь для него.
В цикл включена «база опыта, связанного с измерениями». Она предназначена для хранения информационных продуктов из прошлых итераций цикла, предыдущих оценок информационных продуктов и оценок предыдущих итераций процесса измерения. Она может включать сведения, которые были сочтены полезными для будущего. Никаких положений о характере или технологии «базы опыта, связанного с измерениями» в стандарте не дается, предполагается только то, что это постоянное хранилище. Хранящиеся в «базе опыта, связанного с измерениями» сведения предназначены в основном для повторного использования в будущих итерациях процесса измерения.
Типичные функциональные роли, упомянутые в стандарте, включают причастную сторону, организатора, пользователя измерений, аналитика измерений, библиотекаря измерений, поставщика данных и владельца процесса измерения.
В целом же вопросы измерений в СМИБ не столь просты, как может показаться на первый взгляд. Область информационной безопасности, подобно области риск-менеджмента, является чрезвычайно трудной сферой для задач измерений.
Основная проблема заключается в том, как измерить «отсутствие инцидентов».