Читаем Обеспечение информационной безопасности бизнеса полностью

— P — частично достигнуто — от >15 до 50 %;

— L — в значительной степени достигнуто — от >50 до 85 %;

— F — полностью достигнуто — от >85 до 100 %.

При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 10.

Таблица 10

Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:

— функционирование процесса — процесс выполняется и формирует определенные результаты;

— менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;

— менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;

— формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;

— развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;

— количественная оценка процесса — определены и используются количественные метрики процесса;

— контроль процесса — процесс контролируется во всех составляющих его работах и операциях;

— инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;

— оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.

Для оценки ИБ на основе модели зрелости необходимы два основных источника:

— требования к составу процессов менеджмента ИБ организации — требования ГОСТ Р ИСО / МЭК 27001;

— эталонная модель зрелости процессов ИБ.

Для идентифицированных процессов обеспечения ИБ должны быть разработаны:

— описание каждого из процессов в терминах уровней зрелости эталонной модели;

— методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.

С учетом анализа содержания и семантики требований ГОСТ Р ИСО/МЭК 27001 можно выделить следующие 17 процессов СМИБ организации:

— определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;

— анализ и оценка рисков ИБ, варианты обработки рисков ИБ;

— определение/уточнение политики для СМИБ организации;

— выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;

— принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;

— разработка плана обработки рисков ИБ;

— реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;

— реализация программ по обучению и осведомленности ИБ;

— обнаружение и реагирование на инциденты безопасности ИБ;

— мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;

— анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;

— внутренний аудит СМИБ;

— анализ СМИБ со стороны высшего руководства;

— реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;

— реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ; использование опыта;

— информирование об изменениях и их согласование с заинтересованными сторонами;

— оценка достижения поставленных целей и потребностей в развитии СМИБ.

В [31] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.

Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» 4.2.1 c):f) СМИБ организации, определенной требованиями пунктами ГОСТ Р ИСО/МЭК 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).

Модель зрелости

0-й уровень

На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ.

Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ…

1-й уровень

Перейти на страницу:

Похожие книги

1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих
1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих

Книга предоставляет полное описание приемов и методов работы с программой "1С:Управление небольшой фирмой 8.2". Показано, как автоматизировать управленческий учет всех основных операций, а также автоматизировать процессы организационного характера (маркетинг, построение кадровой политики и др.). Описано, как вводить исходные данные, заполнять справочники и каталоги, работать с первичными документами, формировать разнообразные отчеты, выводить данные на печать. Материал подан в виде тематических уроков, в которых рассмотрены все основные аспекты деятельности современного предприятия. Каждый урок содержит подробное описание рассматриваемой темы с детальным разбором и иллюстрированием всех этапов. Все приведенные в книге примеры и рекомендации основаны на реальных фактах и имеют практическое подтверждение.

Алексей Анатольевич Гладкий

Экономика / Программное обеспечение / Прочая компьютерная литература / Прочая справочная литература / Книги по IT / Словари и Энциклопедии
Управление проектами. Фундаментальный курс
Управление проектами. Фундаментальный курс

В книге подробно и систематически излагаются фундаментальные положения, основные методы и инструменты управления проектами. Рассматриваются вопросы управления программами и портфелями проектов, создания систем управления проектами в компании. Подробно представлены функциональные области управления проектами – управление содержанием, сроками, качеством, стоимостью, рисками, коммуникациями, человеческими ресурсами, конфликтами, знаниями проекта. Материалы книги опираются на требования международных стандартов в сфере управления проектами.Для студентов бакалавриата и магистратуры, слушателей программ системы дополнительного образования, изучающих управление проектами, аспирантов, исследователей, а также специалистов-практиков, вовлеченных в процессы управления проектами, программами и портфелями проектов в организациях.

Коллектив авторов

Экономика