№ 2 март-апрель 2008 г. Тема номера: СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
		СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ И ИЗМЕРЕНИЯ. МЕТРОЛОГИЯ, МЕТРИКИ, БЕЗОПАСНОСТЬ С. Л. Зефиров, В. Б. Голованов

При чем тут измерения?

В одной из своих предыдущих статей мы попытались раскрыть и обсудить отдельные субъективные категории в контексте обеспечения доверия в информационной безопасности, имеющие отношение к организации, ее информационной сфере и информационным активам, а также рассмотрели два возможных подхода к оценке информационной безопасности в организации:

• оценку соответствия как подхода к измерению правильности процессов информационной безопасности;
• оценку на основе модели зрелости как подхода измерения эффективности процессов информационной безопасности.

Данные оценочные деятельности в своей основе ориентированы на периодический (не повседневный) контроль и проверку реализации принятых норм и требований. В то же время применительно к повседневной практической деятельности служб и подразделений обеспечения информационной безопасности в организациях доминирующее место занимают управленческие задачи, а именно:

• установление и пересмотр целей и требований обеспечения информационной безопасности организации;
• выбор и пересмотр мер и средств реализации принятых требований обеспечения информационной безопасности организации;
• внедрение и эксплуатация средств и механизмов безопасности, целевых процедур (процессов) обеспечения информационной безопасности организации;
• комплекс мер оперативного и периодического контроля;
• оценки достижимости заявленных целей обеспечения информационной безопасности организации и реализации установленных требований;
• определение дальнейших действий, включая потребности в пересмотре целей и требований обеспечения информационной безопасности организации.

Фактически мы изложили основные шаги циклической модели менеджмента, более известной как модель «Деминга–Шухарта». Данная модель легла в основу целого ряда комплексов стандартов систем менеджмента. Среди них в числе наиболее известных можно выделить следующие стандарты с требованиями для:

• систем менеджмента качества (СМК) – по ГОСТ Р ИСО 900Х;
• систем менеджмента информационной безопасности (СМИБ) – ИСО/МЭК 2700Х;
• технологии менеджмента услуг информационных технологий (ITSM) – ИСО/МЭК 2000Х и др.

Кроме того, в их числе можно выделить пока что менее известные в России стандарты с требованиями для:

• систем менеджмента безопасности цепочек поставки продукции (ИСО 2800Х);
• систем менеджмента безопасности продуктов питания (ИСО 2200Х) и др.

Если обратиться к основам управленческих моделей, то мы увидим, что история вопроса восходит в глубину веков. Информация о наличии организационных структур в практике управления (менеджмента) была обнаружена еще на глиняных табличках, датированных третьим тысячелетием до нашей эры. Однако хотя само управление достаточно старо, идея управления как научной дисциплины, профессии, области исследований относительно нова. Управление было признано отдельной областью деятельности только в ХХ веке. Одной из первых в этой области принято считать работу «Принцип научного менеджмента», опубликованную в 1911 году Фредериком У. Тейлором), традиционно считающуюся началом признания управления наукой и самостоятельной областью исследований.

Модель «Деминга–Шухарта», которой в ряде стандартов (на СМК, СМИБ) посвящены даже вводные разделы, сформировалась в середине прошлого века усилиями ее движителя – доктора Деминга, который во многом опирался на философию, сформулированную в начале прошлого века Шухартом. Не вдаваясь далее в детали рождения и формирования рассматриваемых моделей, что очень живо с примерами изложено в книге Г. Нива «Пространство доктора Деминга»), хотелось бы отметить лишь один, но фундаментальный принцип реализации данных моделей (или итоговой единой модели) непрерывного совершенствования. Звучит он примерно следующим образом: «Улучшить можно лишь только то, что можно измерить».

Причем совершенно очевидно, что подразумевается возможность измерений как количественных, так и качественных, но предпочтение отдается все же первым. Востребовано это как для оценивания степени достижимости целей, так и для обеспечения качества процессов эксплуатации (производственной деятельности). В поддержку СМК, например, издано несколько десятков стандартов и руководств по измерениям продукции и ее качества, а также руководств по методам оценки результатов измерений, основывающихся, в том числе, и на методах теории математической статистики, и на методах теории вероятностей.

В области обеспечения безопасности поддержка уровня защищенности и уровня информационной безопасности (организации, активов организации и т. п.) является одной из наиболее сложных задач, требующих контроля. Из практики известно, что в отсутствии должного контроля и управления все защитные меры, и в первую очередь технические, неуклонно деградируют. Со временем персонал организаций всеми правдами и неправдами добивается максимальных привилегий, что приводит к «прозрачности» практически всех технических защитных мер.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru