Управление безопасностью ит

Анализ угроз безопасности информации осуществляется на основе моделирования процессов нарушения безопасности информации, обрабатываемой в ИС. Выбор требований по защите информации осуществляется на основании модели угроз безопасности, анализа и обработки рисков мер по их минимизации до приемлемого уровня (так как риск проявления тех или иных угроз ИБ определяется наличием «слабых», «узких», незащищенных участков, процедур и технологий обработки информации).

Эффективность процессов системы управления ИБ со временем снижается. Данный процесс связан с развитием информационных и коммуникационных технологий, с модернизацией информационно-коммуникационной инфраструктуры, и с изменением бизнес-процессов. Важно проводить регулярный аудит, поддерживать в актуальном состоянии модель угроз, проводить анализ рисков на регулярной основе, применять правовые, организационно-технические и экономические методы обеспечения ИБ.

Суть управления бизнес-процессами может быть достаточно наглядно представлена через описание их жизненного цикла:

  1. Проектирование (в т.ч. моделирование, определение владельцев процессов, КПЭ, ключевых рисков).
  2. Реализация (в т.ч. постановка требований к автоматизирующим процессы информационным системам, их разработка, внедрение, эксплуатация, управление изменениями).
  3. Контроллинг (в т.ч. анализ показателей эффективности процессов, сбор информации об их выполнении, регулирование загрузки исполнителей и владельцев процессов).
  4. Стратегическое планирование развития компании (в т.ч. определение миссии и видения, разработанных по методике сбалансированных показателей KPI и пр.).

Несмотря на уникальность каждого вида бизнеса и его специфические черты, можно выделить ряд общих задач, связанных с оптимизацией и дальнейшим развитием бизнеса1.

Задача мониторинга работающих бизнес-процессов

Менеджеры компании регулярно осуществляют количественный и качественный анализ результатов выполнения бизнес-процессов. Однако когда речь идет о «сквозных» процессах, охватывающих деятельность нескольких подразделений, в которых задействованы и внешние контрагенты, которые автоматизированы несколькими ИС, ситуация усложняется. Становится необходимым проводить обобщение и анализ данных из множества источников, и определить, какой именно из множества факторов оказал негативное/положительное влияние на характеристики или результаты процесса практически невозможно.

В современной теории стратегического управления данная задача решается созданием единой системы определения взаимосвязанных стратегических целей, расчета стоимости процессов управления качеством, оценки рисков и реализации других аспектов процессного управления.