Обеспечение информационной безопасности бизнеса | страница 70

На первую страницу


Только высшее руководство компании имеет полномочия по определению уровня (порогов) для принятия рисков. Вопрос порядка обсуждения и принятия решений по порогам риска крайне специфичен для каждой организации. Это обусловлено тем, что именно руководство несет окончательную ответственность за инвестиции в СМИБ и ее эффективность и, следовательно, эффективность инвестиций организации по данной статье расходов. В этих условия стандарты выступают в качестве некоторого возможного эталона действий, но не как истина в последней инстанции. Руководство компаний находится в некотором смысле в многомерном пространстве, где оно должно сориентироваться, оценить каждый вектор и принять необходимое по ситуации решение. Рис. 25 иллюстрирует основные плоскости такого пространства для задач обеспечения ИБ.

Целями обеспечения учетности для сферы безопасности могут быть:

Три основные цели корпоративного управления информационной безопасностью

— обеспечение подотчетности совету директоров;

— определение ответственности и обеспечения разделение обязанностей;

— выделение требуемого объема ресурсной базы;

— обеспечение осведомленности о защищенности бизнеса.


Целями обеспечения потребностей бизнеса в сфере безопасности могут быть:

— установление соответствия ИБ стратегии бизнеса организации;

— базирования основных решений в сфере безопасности на результатах менеджмента риска;

— обеспечение уверенности в том, что СМИБ охватывает вопросы безопасности бизнес-процессов (процессов деятельности).


Целями обеспечения соответствия (для любого вида деятельности) могут быть:

— исполнение требований действующего законодательства и норм, имеющих отношение к информационной сфере и деятельности организации;

— исполнение в операционной среде организации принятых советом директоров и высшим исполнительным руководством внутренних нормативных документов.


Применительно к иным сферам (отмечавшимся менеджменту качества и экологии, а также к иным видам менеджмента в организации, таким как менеджмент ИТ-услуг, менеджмент риска, менеджмент цепочек поставки, менеджмент активов и т. п.), как правило, стоит схожая задача, и пространство корпоративных решений подобно за исключением своей специфичной семантики.

Вопросы обеспечения соответствия (соответствия законодательным и нормативным требованиям) — здесь меньшая, но также не всегда прозрачная составляющая. Что же касается соответствия потребностям бизнеса в вопросах защищенности, то это, как правило, на порядок большая проблема.

Книги, похожие на Обеспечение информационной безопасности бизнеса
Компьютерра, 2005 № 47-48 (619-620) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров
Компьютерра PDA N102 (12.03.2011-18.03.2011) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров
Компьютерра PDA N104 (26.03.2011-01.04.2011) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров
Компьютерра PDA N180 (30.06.2012-06.07.2012) - Журнал «Компьютерра»
Газеты и журналы
Обеспечение информационной безопасности бизнеса - Владимир Васильевич Андрианов, Сергей Львович Зефиров