Читаем Ценность ваших данных полностью

Следует учитывать, что ни один набор мер обеспечения ИБ не может гарантировать полную ИБ. Необходимо внедрить дополнительные управленческие меры по мониторингу, оценке и повышению эффективности и действенности мер обеспечения ИБ в соответствии с целями организации.

Выбор и внедрение мер обеспечения информационной безопасности должны быть задокументированы.

4. Мониторинг, поддержка и повышение эффективности СМИБ

Организация должна поддерживать работоспособность и улучшать СМИБ посредством мониторинга и оценки эффективности в соответствии с политикой и целями организации, а также информировать руководство о полученных результатах для проверки. Цель такой проверки – удостовериться, что СМИБ включает в себя определенные меры обеспечения ИБ, применимые для обработки охватываемых ею рисков. Кроме того, на основе отчетов об этих областях мониторинга можно получить доказательства проверки и отслеживания корректирующих и предупреждающих мер, а также мер по улучшению ситуации.

Основная цель постоянного улучшения СМИБ – повышение вероятности достижения целей, связанных с сохранением конфиденциальности, доступности и целостности информации. Основная задача в этой сфере – поиск путей для совершенствования; не следует думать, что используемая практика управления ИБ достаточна или максимально эффективна.

Список мероприятий по улучшению весьма обширный:

● анализ и оценка существующей ситуации для выявления областей, нуждающихся в совершенствовании;

● постановка задач по совершенствованию;

● поиск возможных решений для достижения поставленных целей,

● оценка этих решений и выбор;

● внедрение выбранного решения;

● измерение, верификация, анализ и оценка результатов внедрения, чтобы определить, насколько достигнуты поставленные цели;

● официальное оформление изменений.

Полученные результаты перепроверяют по мере необходимости, чтобы наметить дальнейшие пути улучшения. Таким образом, улучшение – непрерывный процесс, действия повторяются с определенной частотой. Чтобы выявлять возможности улучшения, можно также использовать отзывы клиентов и других заинтересованных сторон, результаты аудитов и проверок СМИБ.

15.1.6. Контекстная диаграмма области знаний и уровни зрелости функции «Безопасность данных»

Контекстная диаграмма области знаний «Безопасность данных» представлена на рисунке 15.3.

Как и в случае с другими аспектами управления данными, лучше всего рассматривать информационную безопасность как корпоративную инициативу и делать это на протяжении всего жизненного цикла данных. Без скоординированных усилий бизнес-подразделения будут создавать различные индивидуальные решения для удовлетворения своих потребностей в области ИБ, что приведет к увеличению общих затрат при одновременном потенциальном снижении безопасности из-за несогласованной защиты. Неэффективная архитектура или процессы обеспечения безопасности могут дорого обойтись организациям из-за нарушений и потери производительности. Единая стратегия безопасности, которая согласована в масштабах всей организации и должным образом финансируется, снизит эти риски.

* DAMA. DAMA-DMBOK: Data Management Body of Knowledge: 2nd Edition. Technics Publications, 2017. (Русский перевод: DAMA-DMBOK: Свод знаний по управлению данными. Второе издание / Dama International. – М.: Олимп-Бизнес, 2020.)

На рисунке 15.4 отражено распределение деятельности в области управления ИБ по этапам жизненного цикла данных.

На рисунке 15.5 представлены обобщенные характеристики уровней зрелости функции «Безопасность данных».

* Sebastian-Coleman L. Navigating the Labyrinth: An Executive Guide to Data Management, First Edition. Technics Publications, 2018.

* Smith P., Edge J., Parry S., Wilkinson, D. Crossing the Data Delta: Turn the data you have into the information you need. Entity Group Limited, 2016.

Внутри организации на разных уровнях и в различных подразделениях работает множество сотрудников, у каждого из них собственный набор представлений о данных, которыми располагает организация, но никто не имеет и не может иметь исчерпывающего и достоверного представления о всей их совокупности. Поэтому требуется точный и подробный учет данных. Без ведения соответствующей документации организация рискует перестать понимать саму себя. Главным средством регистрации, формализации и упорядочения знаний о данных, имеющихся у организации, служат метаданные.

15.2.1. Определение области знаний «Метаданные»