Документированная процедура включает следующие основные разделы:

· цель и/или назначение процедуры (с учетом направления деятельности, описанной в процедуре);

· область действия;

· нормативные ссылки;

· термины, определения, аббревиатуры и сокращения;

· ответственность и полномочия;

· описание деятельности в соответствии с назначением процедуры (входные данные; ресурсы для осуществления деятельности (персонал, документация, оборудование, материалы); алгоритм выполняемой деятельности, последовательность выполняемых действий в соответствии с установленной целью и назначением процедуры; способы и средства мониторинга; анализируемые данные о результатах деятельности, выходные данные);

· регистрируемые данные;

· сведения о согласовании, утверждении, пересмотре процедуры;

· приложения.
Описание процесса СУИБ, отражающее последовательность действий, состав и содержание отдельных процедур, также можно представить в виде блок-схем. Такая форма описания достаточно информативна и удобна в работе, поскольку дает наглядное представление о последовательности работ, требованиях к выполнению этапов, ответственных исполнителях.
Обязательно должен быть составлен общий перечень всех процессов СУИБ, в котором отражается следующее:

· записи, позволяющие идентифицировать описания процессов;

· информация, определяющая место документа «Перечень процессов СУИБ» в документации более высокого уровня, например руководства по качеству;

· информация, идентифицирующая состояние документа «Перечень процессов СУИБ»: статус (рабочая версия, утвержден и т.д.), дата создания, автор, дата утверждения, лицо, утвердившее документ, дата изменения, сдачи в архив и т.д.
Мониторинг и измерение параметров процесса СУИБ (1)
С целью определения состояния, возможностей совершенствования и соответствия установленным требованиям процессы СУИБ должны подвергаться контролю и проверке.
Процесс оценивания включает следующие этапы [15]:

1) определение входных данных: назначение, область действия, ограничения (по времени, доступности и т.п.), особенности, подход, критерии компетентности специалиста по оценке;

2) определение основных ролей и обязанностей;

3) предоставление руководств для планирования, сбора данных, проверки достоверности данных, определения атрибутов процесса и сообщения результатов оценки;

---

4) фиксирование выходных данных оценки.



Мониторинг и измерение параметров процесса СУИБ (2)
В рамках функционирования СУИБ осуществляются:

1) периодический мониторинг процессов;

2) измерение параметров процессов;

3) анализ работы процессов.
Мониторинг процесса (англ. process monitoring) СУИБ означает постоянное наблюдение (слежение) за его показателями.
Процесс мониторинга СУИБ как непрерывный процесс, начинающийся с установления и определения потребностей и действий по мониторингу и требующий постоянной координации, может быть представлен рисунком [25].



Мониторинг и измерение параметров процесса СУИБ (3)
Должно быть определено, что подлежит мониторингу, когда и что конкретно свидетельствует об отклонениях от нормального функционирования (например, что относится к инцидентам ИБ).
Результаты мониторинга обязательно фиксируются с требуемой степенью детализации.
Для достижения целей мониторинга, измерения параметров и анализа для каждого процесса СУИБ определяются количественные показатели, являющиеся результатом измерения или расчета, и/или качественные характеристики какого-либо свойства процессов СУИБ.
Под показателем процесса СУИБ будем понимать обобщенную характеристику свойств СУИБ, дающую качественную или количественную оценку степени достижения процессом управления ИБ своей цели (в отличие от метрики, которая представляет собой количественное значение показателя, полученное в результате применения метода измерения к объектам измеряемой СУИБ). Это показатель операционной деятельности в области управления ИБ и способа ее осуществления. Он рассчитывается по определенной методике и адекватно характеризует результат и/или динамические показатели (изменение) функционирования процесса.
Для каждого показателя должно быть определено целевое (нормативное) значение, или критерий – величина или интервал величин, которым должен соответствовать показатель процесса СУИБ.
Критерий устанавливается в зависимости от целей процесса и статистических данных о характеристиках процесса за предыдущие периоды. Он может изменяться по мере развития процесса и повышения уровня его зрелости.

---

В случае если текущее значение показателя сильно отличается от целевого значения (возможные отклонения от целевого значения необходимо предусматривать еще при планировании показателя процесса), то необходимо выявить коренные причины такого отклонения и разработать меры по улучшению процесса, устраняющие эти отклонения.
Также для показателя определяются желательные тенденции его изменения.

Мониторинг и измерение параметров процесса СУИБ (4
Для оценки процессов СУИБ можно использовать следующие показатели, которые должны задаваться и быть адекватными назначению процесса, требованиям его внутренних и внешних потребителей, бизнес-целям организации [100].
Управляемость – степень, в которой производится управление выполнением процесса и получения результатов, отвечающих определенным целевым показателям.
Корректность – степень соответствия реализации реального процесса его описанию.
Гибкость (адаптируемость) – способность процесса приспосабливаться к изменениям внешних условий, перестраиваться так, чтобы не снижались ни результативность, ни эффективность.
Повторяемость – способность процесса создавать выходные потоки с одинаковыми характеристиками при повторных его реализациях.
Результативность – степень реализации запланированной деятельности и достижения запланированных результатов.
Эффективность – соотношение между достигнутым результатом и использованными ресурсами (время, финансы и т.д.).
Экономичность (стоимость) – совокупная стоимость выполнения функций процесса и передачи результатов от одной функции к другой.
Мониторинг и измерение параметров процесса СУИБ (5)
Необходимо разработать или воспользоваться уже существующей методикой сбора данных и расчета какого-либо показателя. При самом упрощенном подходе если показатели оценки находятся в пределах нормативных значений, то процесс считается результативным. При отклонениях от нормы можно подсчитать, например, в процентах, насколько процесс результативен. Если трудно определить результат (выход) процесса и показатели его оценки, то проверяется корректность определения его границ и назначения в СУИБ. Возможно, при этом потребуется внесение изменений в перечень процессов СУИБ, т.к. отсутствие или «размытость» результата противоречит сути процессного подхода: каждая деятельность должна быть направлена на получение измеримого результата по достижению общих целей организации.

---

Информацию, задающую показатели оценки процессов СУИБ, можно оформить отдельными, периодически пересматриваемыми документами по каждому процессу с названием «План мониторинга процесса СУИБ». Решение о пересмотре показателей оценки процессов может приниматься при анализе СУИБ. Утверждать планы мониторинга может представитель руководства СУИБ.

4.10. Стратегии построения и внедрения СУИБ
Когда перед организацией стоит задача внедрения СУИБ, можно выбрать один из двух подходов, каждый из которых имеет свои преимущества и недостатки:

1) построение и внедрение СУИБ в целом;

2) построение и внедрение процессов управления ИБ по отдельности с последующим объединением их в единую СУИБ.
При выборе первого подхода уже через небольшое время возможно обеспечить логическую связь между процессами управления ИБ и создать условия для работы СУИБ на всех этапах цикла PDCA. Например, по результатам внутренних аудитов ИБ возможно исправлять коренные причины несоответствий критериям аудита посредством внедрения корректирующих действий. По всем этим процессам будут вестись необходимые записи, наличие которых позволит проводить полноценный мониторинг эффективности работы СУИБ и внедрять ее необходимые улучшения. При таком варианте от начала разработки СУИБ до ее внедрения в эксплуатацию проходит, как правило, около года.
При последовательном построении процессов управления ИБ также существуют свои преимущества. Основное из них то, что процессы будут внедряться постепенно, тщательнее будут отлаживаться и корректироваться в соответствии с потребностями организации.
Например, если начать процесс внедрения СУИБ с процесса управления инцидентами ИБ, уже через полгода эффективной работы процесса будет накоплена существенная статистика по угрозам ИБ, характерным для данной организации и ее активов. Наличие такой базы даст возможность приступить к разработке процесса анализа рисков ИБ и в качестве каталога угроз ИБ использовать данные, накопленные в результате работы процесса управления инцидентами ИБ. Использование угроз ИБ, типичных для активов данной организации, позволяет более точно оценить риски ИБ для ее активов по сравнению с использованием каталогов типовых угроз ИБ, множество которых можно найти, например, в Интернете.
В качестве другого примера можно взять процесс внутренних аудитов ИБ, который начинает приносить свои плоды уже с момента внедрения и проведения первых аудитов.

---

И хотя данный вариант внедрения СУИБ сулит множество преимуществ, внедрение всей системы может занять не один год.
Стратегия построение СУИБ (1)
Для любой стратегии построения и внедрения СУИБ важнейшим вопросом является ее интеграция в общую деятельность организации, включая определение того, как и в какой мере затраты на СУИБ найдут отражение в результатах бизнеса.
Поэтому построению и внедрению СУИБ должно предшествовать определение уязвимостей в информационной инфраструктуре организации и в связи с этим должны быть сформулированы цели и задачи ОИБ.
Также перед внедрением СУИБ необходимо разработать большое количество процессов и документов, поддерживающих и обеспечивающих работу основных процессов управления ИБ, выявить исполнителей этих процессов и тех, кто будет управлять данными процессами и работой СУИБ в целом.
Важно определить и желательно сразу же закрепить за конкретными участниками базовые роли СУИБ – роли, в рамках которых будет осуществляться управление СУИБ. Так, например, необходима роль менеджера СУИБ. Он назначается из состава высшего руководства организации или из иного руководящего состава организации, наиболее подготовленного для выполнения обязанностей данной роли. Менеджер по ИБ отвечает за общее руководство деятельностью по ОИБ в рамках СУИБ организации. В его обязанности входят, например, следующие функции:

· обеспечивать планирование мероприятий в рамках СУИБ;

· согласовывать внесение изменений в документацию и процессы СУИБ;

· обеспечивать руководство работой ответственных по вопросам ОИБ;

· консультировать по спорным вопросам СУИБ;

· составлять годовые планы обучения по СУИБ;

· составлять годовые планы внутренних аудитов, а также планов каждого из внутренних аудитов;

· участвовать в работе процессов управления ИБ;

· доводить до руководства информацию о критичных инцидентах ИБ, решения по внесению изменений и т.д.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx