Стратегия построение СУИБ (2)
Исполнители всех ролей в рамках СУИБ и отдельных процессов управления ИБ должны быть назначены руководством и обладать достаточными полномочиями для принятия всех необходимых решений и выполнениях всех необходимых функций в рамках этих ролей. Приведем примеры некоторых ролей:
Владелец актива (бизнес-процесса) – сотрудник, несущий конечную ответственность за ОИБ актива и определяющий правила его использования. Он организует ОИБ своего актива в виде формализованных правил, технических политик, настроек конфигурации, организационных мероприятий и регламентов.
Владелец процесса управления ИБ – должностное лицо (сотрудник) подразделения организации, входящего в область действия СУИБ, которое управляет процессом, имеет в своём распоряжении персонал, инфраструктуру и информацию о ходе (состоянии) процесса. Он отвечает за результативность и эффективность своего процесса.
Пользователь СУИБ – любой сотрудник организации, входящий в область действия СУИБ.
Подобное распределение ролей хорошо тем, что позволяет правильно планировать процессы и обязанности отдельных субъектов в рамках функционирования СУИБ.
Но помимо того, что необходимо распределить роли и закрепить их за конкретными исполнителями, требуется обучить исполнителей ролей. Организация должна гарантировать, что все сотрудники, на которых возложены обязанности, определенные в СУИБ, имеют надлежащую квалификацию для выполнения необходимых задач. В соответствии с [6], [23] для этого организация должна выполнить следующее:

· определить необходимый уровень квалификации сотрудников, выполняющих работы, связанные с СУИБ;

· обеспечить обучение или принять другие меры (например, нанять квалифицированный персонал) для удовлетворения этих потребностей;

· оценить эффективность принятых мер;

· вести записи об образовании, обучении, навыках, опыте и квалификации.
Организация должна также гарантировать, что весь задействованный персонал осведомлен о значимости и важности его деятельности по ОИБ, а также о том, каким образом этот персонал участвует в достижении целей СУИБ.

---

Рассмотрим две названные стратегии внедрения СУИБ более подробно.

Построение и внедрение СУИБ в целом (1)

Построение и внедрение СУИБ в целом является трудоемкой задачей, т.к. на этапе разработки требуется отследить все взаимосвязи между процессами управления ИБ, а также сконструировать большое количество процессов таким образом, чтобы они заработали эффективно.
Объемы и сложность решаемых задач требуют слаженной работы целой команды специалистов. При построении СУИБ, внедряемой по данной схеме, необходимо организовать рабочую группу, которая будет включать в себя специалистов в разных областях: специалистов по ИБ, владельцев бизнес-процессов (как правило, это линейные руководители подразделений), специалистов по информационно-технологической поддержке, специалистов по кадрам, представителей финансового подразделения и т.д. Помимо этого необходимо не забывать про роль высшего руководства в этом процессе.
Построение и внедрение СУИБ в целом (2)
При выборе стратегии внедрения СУИБ в целом тоже существуют различные варианты ее построения, которые в основном затрагивают аспекты выбора области действия.
Существует две возможности – внедрение СУИБ для небольшой (ограниченной) области действия с последующим расширением или сразу для всей области действия.
СУИБ для небольшой области действия с последующим расширением

В качестве области действия СУИБ может быть выбран «небольшой» (в смысле не сложный) процесс, в котором участвует небольшое количество сотрудников. Основными преимуществами такого подхода являются:

· возможность более легкой модификации процессов управления ИБ на этапе их внедрения;

· более тесная работа с сотрудниками, входящими в область действия СУИБ, в части внедрения процессов управления ИБ в культуру организации;

· оперативная связь с сотрудниками в ходе внедрения процессов управления ИБ;

· использование данной области действия в качестве «испытательного полигона» для отработки всех процессов управления ИБ.
Построение и внедрение СУИБ в целом (3)
СУИБ для большой области действия
Построение СУИБ сразу для большой области действия обладает рядом своих преимуществ и недостатков. Из преимуществ можно выделить то, что если такой проект реально запускается

---

, то, скорее всего, имеется действительная заинтересованность руководства в нем и для построения и внедрения СУИБ все управленческие решения будут приниматься своевременно, а все необходимые ресурсы предоставляться вовремя.
Но при таком подходе на этапах внедрения и дальнейшего функционирования СУИБ практически невозможно оперативно вносить изменения в процессы управления ИБ. Это обусловлено тем, что такие процессы чаще всего затрагивают большое количество сотрудников. Их оповещение и обучение новым правилам – не такая простая задача. Помимо этого, в связи с обширностью области действия, управленческая ролевая структура, скорее всего, будет весьма разветвленной и негибкой, что повлечет за собой сложности в согласовании вносимых изменений. Механизмы получения обратной связи от пользователей СУИБ также не будут такими простыми и гибкими, как в случае внедрения СУИБ на небольшой области действия.
Однако подход, при котором СУИБ охватывает бóльшую часть организации, может свидетельствовать о серьезном подходе руководства организации к ОИБ и управлению ею.

Построение и внедрение процессов СУИБ по отдельности
При построении и внедрении процессов управления ИБ, выполняемых в рамках функционирования СУИБ, можно выделить те же преимущества, что и для СУИБ для небольшой области действия. Однако ошибочно думать, что эти преимущества достигаются только лишь при внедрении отдельных процессов для небольшой области действия. Если внедрять процессы постепенно, то этих же преимуществ можно добиться и при внедрении сразу же для большой области действия.
При выборе стратегии внедрения процессов СУИБ по отдельности с последующим их объединением в СУИБ последовательность работ и разработки и внедрения процессов будет примерно такой же, как и при внедрении СУИБ в целом. За исключением того, что цели внедрения отдельных процессов должны определяться на этапе их разработки и потом их выполнение должно четко отслеживаться. Возможно, потребуется оформление политик для каждого из процессов, которые будут по структуре совпадать со структурой общей Политики СУИБ.
При внедрении отдельных процессов необходимо делать это постепенно, отводя время на внедрение процесса в культуру, обучение пользователей, внесение изменений в процесс по результатам первых циклов его работы. Именно в таком случае будут достигнуты преимущества данной стратегии внедрения СУИБ.

---

Из недостатков стратегии отметим следующее. Поскольку процессы будут разрабатываться отдельно, возможно разными людьми, то при их постепенном внедрении и последующем объединении в единую систему могут возникнуть проблемы с взаимосвязями между процессами. Это может быть вызвано несоответствием выходных данных одного процесса и входных данных следующего за ним процесса управления ИБ, несоответствием ролей и исполнителей ролей в разных процессах и т.д. Чтобы избежать этого, необходимо иметь четкую стратегию развития процессов и СУИБ в целом, последовательно ее отслеживать и строить СУИБ в соответствии с ней.

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx