Дополнительная информация (в стандарте отсутствует)
Родоначальником процессного подхода к управлению качеством принято считать американского ученого Уолтера Шухарта. Его книга начинается с выделения 3-х стадий в управлении качеством результатов деятельности организации:
1) разработка спецификации (техническое задание, технические условия, критерии достижения целей) того, что требуется;
2) производство продукции, удовлетворяющей спецификации;
3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.
Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний».
После первого цикла результаты проверки должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс корректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается проверке и т. д.
Американский ученый Эдвардс Деминг трансформировал цикл Шухарта в форму, наиболее часто встречаемую сегодня. Он, чтобы перейти от контроля качества к управлению качеством, дал более общие названия каждому из этапов, и, кроме того, добавил еще один, 4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то, что они недостаточно анализируют полученную на третьем этапе информацию и не улучшают процесс. Именно поэтому этот этап называется «воздействуй» (Act), и соответственно цикл Шухарта-Деминга называют моделью «PDCA» или «PDSA»:
— Plan — Планирование — идентификация и анализ проблем; оценка возможностей, постановка целей и разработка планов;
— Do — Реализация — поиск решения проблем и реализация планов;
— Check (Study) — Оценка результативности — оценка результатов реализации и выводы в соответствии с поставленной задачей;
— Act — Улучшение — принятие решений на основе полученных выводов, коррекция и улучшение работы.
Модель «PDCA» для СУИБ
Планирование — Реализация — Контроль — Улучшение
1. Планирование (разработка и проектирование): установление целей, политик, элементов управления, процессов и процедур СУИБ для достижения результатов, соответствующих общей политике и целям организации.
2. Реализация (внедрение и обеспечение функционирования): внедрение и применение политик ИБ, элементов управления, процессов и процедур СУИБ по оценке и обработке рисков и инцидентов ИБ.
3. Контроль (мониторинг и анализ функционирования): оценка результативности выполнения требований политик, целей ИБ и эффективности функционирования СУИБ и оповещение высшего руководства о результатах.
4. Улучшение (сопровождение и усовершенствование): проведение корректирующих и предупреждающих действий, основанных на результатах аудита и анализа со стороны руководства для достижения улучшения СУИБ
Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно иллюстрируют схему управления любым процессом деятельности. Он с необходимыми уточнениями к настоящему времени получил широкое применение в международных стандартах управления:
— качеством продукции ISO 9000;
— охраной окружающей среды ISO 14000;
— техникой безопасности и охраной труда OHSAS 18000;
— информационными сервисами ISO/IEC 20000;
— безопасностью пищевой продукции ISO 22000;
— информационной безопасностью ISO/IEC 27000;
— безопасностью ISO 28000;
— непрерывностью бизнеса ISO 22300;
— рисками ISO 31000;
— энергетикой ISO 50000.
3.4. Важность СУИБ
Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.
Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.
На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.
Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.
СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.
Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.
ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ — это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.
СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.
Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:
— повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;
— поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;
— постоянно улучшать среду управления организации;
— эффективно соответствовать правовым и нормативным требованиям.
3.5. Внедрение, контроль, сопровождение и улучшение СУИБ
Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.
Оперативные этапы СУИБ определяют следующие составляющие:
— общие положения;
— требования ИБ;
— решающие факторы успеха СУИБ.
Оперативные этапы СУИБ обеспечивают следующие мероприятия:
— оценка рисков ИБ;
— обработка рисков ИБ;
— выбор и внедрение мер защиты;
— контроль и сопровождение СУИБ;
— постоянное улучшение.
Общие положения
Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:
— определение информационных активов и связанных с ними требований ИБ;
— оценка и обработка рисков ИБ;
— выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;
— контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.
Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.
Требования ИБ
В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:
— информационных активов и их ценности;
— бизнес-потребностей в работе с информацией;
— правовых, нормативных и договорных требований.
Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:
— угроз активам;
— уязвимостей активов;
— вероятности материализации угрозы;
— возможного влияния инцидента ИБ на активы.
Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.
Оценка рисков ИБ
Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.
Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.
Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).
Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.