По результатам выполнения корректирующего или предупреждающего действия в сроки, установленные при планировании этого действия, осуществляется контроль эффективности его выполнения.
4.9. Работа с процессами СУИБ организации
Как было показано выше, в рамках процессного подхода к управлению ИБ и циклической модели PDCA постоянно приходится оперировать понятием процесса. Поэтому целесообразно определить основные способы задания и анализа процессов управления ИБ организации, реализуемых в рамках всего жизненного цикла СУИБ (для краткости называемых далее процессами СУИБ). Эти процессы затрагивают все аспекты ОИБ организации, так как ИБ – это результат устойчивого функционирования многих процессов, связанных с ведением бизнеса организации.
Примерами основных процессов СУИБ являются следующие целевые (профильные) виды деятельности, иногда называемые частными управлениями [97]:

· управление активами;

· управление рисками ИБ;

· управление инцидентами ИБ

· управление ролями, выполняемыми сотрудниками в рамках ОИБ;

· управление персоналом, включая службу ИБ;

· управление изменениями, улучшениями (тактическими, стратегическими), корректирующими и предупреждающими действиями;

· управление защитными мерами;

· управление информированием и обучением вопросам ОИБ;

· управление документами и записями, относящимися к деятельности в области ОИБ в рамках СУИБ;

· управление непрерывностью бизнеса (УНБ);

· управление контрольными мероприятиями в области проверки уровня ИБ (мониторинг, внутренние и внешние аудиты ИБ);

· управление эффективностью деятельности в области ОИБ.


К каждому из указанных процессов СУИБ применим процессный подход, как и к СУИБ в целом.
Задание процесса СУИБ (1)
Отдельный процесс СУИБ – логически взаимосвязанная между собой и непрерывная во времени последовательность работ, направленная на достижение поставленной специфичной цели ОИБ [6], [23].
В то же время информационные потоки (операций и функций управления) в среде организации могут содержать критерии, требующие реализации согласованных действий, формально относящихся к различным видам деятельности – частным управлениям в организации.

---

Прежде чем приступать к анализу процесса СУИБ, необходимо определить, какие параметры он может иметь и какие из этих параметров представляют наибольший интерес. Как отмечается во многих стандартах, при задании процесса СУИБ или его описании необходимо учитывать следующие его параметры [17], [25], [91], [92], [100]:

· название (определение) процесса;

· цель процесса (реализуемая в рамках процесса функция или их последовательность);

· внутренняя структура процесса, т.е. элементов, из которых состоит процесс, и взаимосвязей между ними;

· описание взаимосвязей процесса с другими процессами в организации;

· порядок деятельности в рамках реализации процесса;

· алгоритм (диаграмма) процесса;

· участники процесса;

· ответственное лицо – руководитель (владелец) процесса;

· входные и выходные данные (потоки), а также их поставщики (или потребители);

· требуемые ресурсы (производственные, технические, материальные, информационные и т.п.);

· определяющая цель (цели) процесса;

· оценка результативности и эффективности процесса – метрики процесса, точки и процедуры мониторинга процесса;

· возможные риски и влияние процесса на субъектов процесса;

· глоссарий процесса или ссылки на документы, где можно ознакомиться с используемыми в описании терминами;

· место документа «Описание процесса СУИБ» в системе документации организации более высокого уровня;

· состояние документа «Описание процесса СУИБ»: статус (рабочая версия, утвержден и т.д.), дата создания, автор, дата утверждения, лицо, утвердившее документ, дата изменения и дата сдачи в архив и т.д.

---

Задание процесса СУИБ (2)
Одним из определяющих параметров в описании процесса СУИБ является его цель. Каждый процесс должен иметь цель или систему целей, на достижение которых он направлен. Цели определяются, исходя из требований потребителей результатов (выходных потоков) процесса. Стандарты, рассматривающие СУИБ, рекомендуют сформулировать одну, наиболее важную цель процесса, поскольку на ее основе формируется метрика данного процесса. Использование нескольких целей потребует определения их интегральной оценки путем введения весовых коэффициентов, определение которых для каждой цели в большинстве случаев весьма затруднительно. Единая интегральная оценка необходима для определения единой метрики процесса СУИБ.
Цели могут меняться с течением времени. Например, на начальном этапе жизненного цикла у процесса СУИБ одни цели. Через некоторое временя, когда процесс выстроен и оптимизирован настолько, что достижение ранее поставленных целей гарантируется, цель процесса может измениться.
Идентификация процесса СУИБ организации (1)
Под идентификацией процессов СУИБ будем понимать определение состава процессов СУИБ, имеющих ключевое значение в рамках выбранной области действия – ОИБ, и составление их перечня, а также разработку модели каждого процесса, включающей краткую характеристику (например, в форме идентификационной карты), последовательность действий и процедуры процесса (например, в виде блок-схемы), показатели для оценки процесса [17], [91], [92], [100].
Идентификацию процессов СУИБ упрощает составленный еще до начала работ по созданию СУИБ перечень бизнес-процессов организации (в идеале в организации должна существовать подробная карта ее бизнес-процессов), нуждающихся в обеспечении их ИБ, и их описания. Наличие такого перечня может существенно снизить трудозатраты на выбор области и границ действия СУИБ и сделать это наиболее корректным образом, исходя из бизнес-целей организации. Однако если такого перечня в организации не существует и задача выбора области действия СУИБ решена, то необходимо разработать описания бизнес-процессов, входящих в нее.
Идентификация процесса СУИБ организации (2)
Лучшие практики в отношении СУИБ обычно рекомендуют придерживаться правила: «один процесс СУИБ – одно подразделение – один бюджет – одни руководитель процесса». Процессная модель управления не противопоставляет и не отвергает широко распространенную функциональную модель с вертикальной иерархической структурой и не противоречит проектному управлению. Процессная модель – еще одно представление функций и взаимосвязей в организации, базовым элементом управления которой являются виды деятельности и их результаты, причем акцент делается именно на управление результатами с заданными параметрами, а не только на исполнение порученной функции. В большинстве организаций руководители подразделений в рамках

---

своих полномочий распоряжаются ресурсами, несут ответственность и являются руководителями своих процессов. Поэтому при идентификации процессов СУИБ требуется уточнить обязанности, этапы и взаимосвязи процессов. Исключением из правила будут процессы, охватывающие деятельность нескольких подразделений: управление документацией, внутренние аудиты, анализ СУИБ со стороны высшего руководства и т.д.

Идентификация процесса СУИБ организации (3)
Помимо непосредственной идентификации необходимо определить или назначить руководителей (владельцев) связанных с бизнес-процессами выявленных процессов СУИБ.
Руководитель процесса СУИБ – должностное лицо или коллегиальный орган, который имеет в своем распоряжении ресурсы процесса, информацию о нем, управляет ходом процесса и несет ответственность за его результат перед вышестоящим руководителем.
Руководитель не касается функций, выполняемых в рамках процесса отдельными исполнителями; ему важна успешная реализация всего процесса. Руководитель процесса СУИБ обеспечивает взаимодействие с поставщиками входных потоков процесса и с потребителями его результатов. Он обладает наиболее полными знаниями о процессах СУИБ, владельцем которых он является, поэтому в случае необходимости описания процессов или получения каких-либо других сведений о процессе, необходимо обращаться именно к нему.
Идентификация процесса СУИБ организации (4)
После определения состава процессов оформляется перечень процессов СУИБ с присвоенным каждому процессу названием, обозначением и руководителем.
Для каждой организации перечень процессов будет индивидуальным, отражающим присущие виды деятельности и производимую продукцию, а также требования к управлению, изложенные в ГОСТ Р ИСО/МЭК 9001 [91], [92]. Проверить этот перечень на соответствие требованиям данного стандарта можно сопоставлением пунктов стандарта и процессов СУИБ.
Сделаем важное замечание – поскольку любую операцию можно считать процессом, надо ограничить степень детализации при определении состава процессов СУИБ. Необходимо, прежде всего, учитывать результат (выход) процесса, который важно отслеживать в СУИБ как значимый фактор влияния или условие достижения целей организации.
Следующей задачей после составления предварительного перечня процессов СУИБ является создание моделей процессов, обладающих следующими свойствами:

---

· наглядность и полнота описываемого процесса без дублирования информации;

· возможность анализа процесса руководителями, аудиторами и проектными группами;

· рациональное использование ранее разработанной и подтвердившей на практике свою ценность документации предприятия.
Документирование и описание процесса СУИБ (1)
Описание процесса СУИБ определяет сущность процесса и его структуру и позволяет эффективно спланировать, обеспечивать, управлять и улучшать его.
Можно выделить следующие цели описания процессов СУИБ [17], [91], [92], [100]:

· отображение реально существующих процессов;

· разработка системы управления процессами;

· управление работающими процессами;

· внедрение стандартных методов представления и описания процессов;

· формулировка измеримой цели для каждого процесса;

· создание упорядоченной структуры взаимосвязанных процессов, однозначно понимаемой всеми сотрудниками организации;

· получение возможности повторного использования отдельных процессов в других процессах (использование модульного принципа);

· разработка показателей результативности и эффективности, позволяющие оценить степень достижения цели процесса;

· снижение стоимости и повышение качества выполнения процессов;

· уточнение количества и вида ресурсов для осуществления процессов;

· распределение полномочий и ответственности участников процесса;

· создание сети рабочих групп, призванных заниматься организацией процессов в этих подразделениях.
Документирование и описание процесса СУИБ (2)
В общем случае отдельный процесс СУИБ может состоять из подпроцессов, которые, в свою очередь, также могут состоять из подпроцессов. Степень декомпозиции процессов определяется самой организацией.
Степень детализации описаний процессов СУИБ должна определяться исходя из необходимости и достаточности обеспечения эффективности руководства процессами, сложности процесса, размеров и потребностей в управлении организации.
Документирование и описание процесса СУИБ (3)

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx