1) определение процессов, необходимых для реализации в организации;
2) определение входов и выходов каждого процесса для установления последовательности и взаимодействия процессов;
3) планирование и обеспечение ресурсами (включая информацию), необходимыми для осуществления процессов и управления ими;
4) определение необходимой степени документированности и документирование процессов;
5) осуществление планирования процессов;
6) наличие критериев и методов оценки осуществления и управления процессами;
7) осуществление мониторинга, оценки и анализа процессов;
8) проведение корректирующих и предупреждающих (иначе называемых превентивными) действий по результатам анализа процессов, включая совершенствование процессов, осуществляемых в организации;
9) определение методов и осуществление управления процессами, результаты которых нельзя проверить посредством последовательного мониторинга и измерения.
Циклическая модель улучшения процессов

Для структурирования всех процессов управления и для обеспечения учета всех значимых элементов процессного подхода применяется циклическая модель, или цикл, PDCA (от англ. Plan-Do-Check-Act – планируй– выполняй – проверяй – действуй») (упрощенно цикл представлен на рисунке), предложенная и развитая двумя американскими учеными и специалистами в теории управления качеством.
Шухарт (Walter A. Shewhart) впервые описал цикл PDCA в 1939 г. в своей книге «Статистические методы с точки зрения управления качеством».
Деминг (William Edwards Deming) пропагандировал использование цикла PDCA в качестве основного способа достижения непрерывного улучшения процессов, и поэтому в современном мире эта формула больше известна как «цикл Деминга». Он также ввел модификацию цикла PDCA – цикл PDSA (от англ. study – изучай).

Drawing1

Применение цикла PDCA в самых различных областях позволяет эффективно управлять деятельностью на системной основе [18].
Данный цикл может быть применен внутри каждого процесса организации, как высокого уровня, так и к простым производственным процессам, а также по отношению к системе процессов в целом.
Он тесно связан с планированием, внедрением, управлением и постоянным улучшением как бизнес-процессов организации, так и других процессов системы управления.

---

Управление следует организовывать на основе комплексов мероприятий, которые доказали свою эффективность.
Составляющие циклической модели улучшения процессов «Планируй» и «Осуществляй»

PDCA
«Планируй» (Plan) – определение целей и задач, а также способов достижения целей.
На данном этапе обеспечивается единое направление деятельности организации к достижению ее целей за счет установления процессов, необходимых для получения результатов в соответствии с существующими требованиями в обозначенный отрезок времени. Для этого определяются и описываются текущее и желаемое состояние процессов за счет выявленных несоответствий и причин их появления. Планирование не является отдельным разовым событием, если организация стремится функционировать как можно дольше. Поэтому она пересматривает свои цели, если полное достижение первоначальных практически завершено или их выполнение невозможно в силу ряда причин. Вторая причина, по которой планирование должно осуществляться непрерывно, – это постоянная неопределенность будущего. Изменения в окружающей среде, ошибки в суждениях и другие факторы приводят к тому, что события разворачиваются не так, как это предвидело руководство при выработке первоначальных планов. Поэтому чтобы планы согласовывались с реальностью, их необходимо регулярно пересматривать. В процессе планирования необходимо консультироваться с владельцами процессов, которые обладают самими полными знаниями о них.

«Осуществляй» (Do) – реализация процесса: обучение и подготовка кадров, выполнение работ.
На данном этапе в первую очередь происходит создание некоторой структуры, которая выполнять намеченные планы и тем самым достигать цели организации. Происходит внедрение процессов, осуществляется выполнение запланированных мероприятий. Здесь следует помнить о том, что стандарты всегда несовершенны, поэтому необходимо полагаться на опыт и знания квалифицированных работников. На всех этапах прохождения цикла Деминга возникает проблема нехватки квалифицированных и подготовленных работников. Поэтому необходимо внедрять программы обучения и целенаправленной подготовки кадров.
Составляющие циклической модели улучшения процессов «Проверяй» и «Действуй, или воздействуй»

---

PDCA
«Проверяй» (Check) – проверка результатов выполнения работ, проведенных на предыдущем этапе.
Данный этап говорит о том, что необходимо проводить мониторинг процессов и измерять их по отношению к политикам, целям и требованиям к продукции за определенный период и сообщать о полученных результатах в сравнении с ожидаемыми. Контроль и оценка обеспечивают достижением организацией своих целей. Если все идет в соответствии с поставленными задачами и согласно требованиям стандартов, то соответственно никакой корректировки не требуется. Однако если обнаружено отклонение, то вмешательство руководства для установления причин неэффективной работы процессов и планирования мер по улучшению становится необходимым.

«Действуй, или воздействуй» (Act) – осуществление соответствующих управляющих воздействий по постоянному усовершенствованию (улучшению) показателей процессов.
На данном этапе на основе результатов, полученных ранее, предпринимаются действия по коррекции отклонений от первоначальных планов и постоянному улучшению функционирования процессов. Если вносимые изменения не решают поставленную задачу, цикл следует повторить. Тогда одно из возможных действий – пересмотр целей, для того, чтобы они стали более реалистичными и соответствовали ситуации.
2. СТАНДАРТИЗАЦИЯ СИСТЕМ И ПРОЦЕССОВ УПРАВЛЕНИЯ ИБ


Международная организация по стандартизации ISO (ИСО) и Международная электротехническая комиссия IEC (МЭК) формируют специализированную систему всемирной стандартизации.

ISO+IEC
На текущий момент можно с уверенностью сказать, что мировое сообщество проделало существенную работу в направлении стандартизации СУИБ и отдельных процессов управления ИБ, и по-прежнему весьма активно продолжает эту работу. В соответствие с этими стандартами ОИБ в любой организации заключается в выполнении следующих действий:
· определение целей ОИБ;
· создание эффективной СУИБ;
· расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;
· применение инструментария ОИБ и оценки ее текущего состояния;
· использование методик (с понятной системой критериев и защитных мер, или мер ОИБ) в процессе управления рисками ИБ, позволяющих объективно оценить текущее состояние дел в организации.

---

Основоположником подобной стандартизации стала серия стандартов ISO 9000, предъявляющих требования к системам менеджмента качества, соблюдение которых позволяет контролировать качество выпускаемой продукции или предоставляемых услуг. При разработке стандартов на СУИБ многое было взять за основу именно из стандартов серии ISO 9000, например, основной подход – процессный подход и использование циклической модели PDCA для непрерывного совершенствования как самой системы, так и отдельных ее процессов. Помимо этого отличительной особенностью стандартов ISO 9000, которая была перенята при стандартизации СУИБ, является то, что они устанавливают степень ответственности руководства компании за качество. Причем руководство предприятия отвечает как за разработку политики в области качества, так и за внедрение и поддержание в рабочем состоянии системы менеджмента качества. Очень большое количество процессов управления из систем менеджмента качества с некоторыми изменениями присутствует и в СУИБ, например, внутренние аудиты ИБ, корректирующие и предупреждающие действия и т.д.

В данном разделе рассматриваются существующие международные стандарты (серии стандартов) и национальные стандарты (российские ГОСТы), относящиеся как к СУИБ в целом, так и к отдельным процессам управления ИБ.


2.1. Серия стандартов 27000 «Информационная технология. Методы обеспечения безопасности»


Истоки формирования серии стандартов 27000 (1)

История развития серии стандартов 27000 началась в 1999 г., когда обновленная первая часть британского стандарта BS 7799:1995 (BS 7799–1:1999) была передана в ИСО и в 2000 г. впервые утверждена в качестве международного стандарта как ISO/IEC 17799:2000 «Information technology. Security techniques. Code of practice for security management».

Следующей его версией стал стандарт ISO/IEC 17799:2005, который в связи с формирование группы стандартов 27000 был преобразован в стандарт ISO/IEC 27002:2005. «Information technology. Security techniques. Code of practice for information security management» (Информационная технология. Методы и средства обеспечения безопасности. Практические правила управления ИБ).



В 2005 г. в РФ был утвержден и введен в действие национальный стандарт ГОСТ Р ИСО/МЭК 17799–2005 «Информационная технология. Практические правила управления информационной безопасностью», идентичный международному стандарту ISO/IEC 17799:2000.

---

Истоки формирования серии стандартов 27000 (2)

В 1999 г. вышла в свет вторая часть стандарта BS 7799 – BS 7799–2:1999 «Information Security Management. Specification for ISMS» для СУИБ (Information Security Management System).
В 2002 г. стандарт был усовершенствован и выпущена его новая редакция – BS 7799–2:2002.
На ее основе в 2005 г. был разработан и принят стандарт ISO/IEC 27001:2005. «Information technology. Security techniques. Information security management systems.Requirements».



В 2006 г. в РФ был утвержден и введен в действие национальный стандарт ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», идентичный международному стандарту ISO/IEC 27001:2005.

Дальнейшее развитие стандартов серии 27000 включает в себя появление стандартов, более подробно раскрывающих требования к отдельным процессам управления ИБ. Базируясь на единой структуре и методологии, заложенной в ISO/IEC 27001:2005, они предоставляют руководства по управлению ИБ для различных сфер деятельности, включая финансовый и страховой сектор, здравоохранение, телекоммуникации и т.д.


Состав серии стандартов 27000 (1)
На сентябрь 2013 г. существуют и планируются к ближайшему принятию международные стандарты серии 27000, перечень которых приведен в таблице.


Состав серии стандартов 27000 (2)
На сентябрь 2013 г. существуют и планируются к ближайшему принятию международные стандарты серии 27000, перечень которых приведен в таблице:


Национальные стандарты, относящиеся к серии стандартов 27000
В настоящее время российская стандартизация в области управления ИБ проходит некоторую промежуточную стадию своего формирования и является еще недостаточно зрелой, однако, уже сейчас намечаются положительные тенденции в развитии данной области. После некоторого перерыва были приняты национальные стандарты, идентичные определенным международным стандартам или стандартам других стран.

Взаимосвязь российских, международных и британских стандартов, посвященных СУИБ, отражена в таблице:

---

Смотрите также файлы

• Тема Феномен и сущность культуры Задание к каким культурологическим подходам.docx

• Жизнь и творчество А. С. Пушкина. За весной, красой природы, Уж небо осенью дышало, В тот год осенняя погода.docx

• Стадии и сроки административного судопроизводства.docx

• Природа человека, врожденные и приобретенные качества.docx

• Оценка показателей деловой активности подготовил студент фио.pptx