Обеспечение информационной безопасности бизнеса | страница 72

Модель корпоративного управления ИТ, представленная на рис. 27, отражает тот факт, что в любой деятельности организации изначально присутствует этап инвестиций (в той или иной форме), в результате которого организация ожидает, что эти инвестиции принесут пользу и дадут положительный эффект. Применительно к корпоративному управлению ИТ это включает:

— проекты организации в сфере информационных и телекоммуникационных технологий — этап инвестиций в операционную ИТ-среду;

— операции в сфере (эксплуатация поставленных) информационных технологий организации — этап возврата инвестиций. В сфере информационных технологий возврат инвестиций может быть представлен в виде: новой функциональности организации (подразделений), повышения надежности и безопасности систем информационных технологий и информационной составляющей процессов деятельности, сокращения эксплуатационных издержек и т. п.

Возможно, подобные модельные рекомендации будут приняты и для сферы корпоративного управления информационной безопасностью, включая место и роль стандартизированных требований к СМИБ в системе корпоративного управления. На рис. 28 представлена возможная модель корпоративного управления информационной безопасностью организации, согласующаяся с признанной моделью корпоративного управления информационными технологиями в организации, нашедшей отражение в ISO / IEC 38500.

В любом случае должны быть идентифицированы роли и функции органов управления компании и вопросы смежных областей. Одно из возможных модельных решений применительно к архитектуре корпоративного управления информационной безопасностью представлено на рис. 29.

В конечном итоге наиболее критичным вопросом и одной из важнейших задач высшего руководства является обеспечение таких бизнес-ресурсов, как «люди», «предметы» и «деньги». В конечном итоге успех дела (в данном случае эффективность затрат в СМИБ организации), как и в традиционном бизнесе, будет зависеть от достаточности ресурсной поддержки. При этом крайне чувствительным и одновременно сложным здесь является вопрос о достаточности ресурсной поддержки (как установить порог/критерий, характеризующий, что «все заработало»). Современные стандарты СМИБ включают такие формулировки: руководство должно понимать потребности системы менеджмента информационной безопасности и предоставлять для нее необходимые бизнес-ресурсы.

Однако значение того, сколько составляет «необходимое» и «достаточное», стандартами установлено быть не может. Есть «микро» предприятия, есть средние и большие. При этом градации сегментов: малое предприятие, среднее и большое — в некоторой степени абстрактны и имеют различия от вида и сферы деятельности (бизнеса) организации. В различных странах (и в России, в частности) существует формальное определение малого предприятия для целей льготного налогообложения, но это все-таки достаточно условная градация, с порогами, устанавливаемыми от годового дохода компании. В то же время с развитием технологий и вынужденной унификацией отдельных задач данные абстрактные критерии все же получают вполне возможное содержанием для отдельных областей.