12.2.5. СУЩНОСТЬ ПРОЦЕССНОГО ПОДХОДА
CPI (Continuous Process Improvement) - методология управления, в основе которой лежит идея непрерывного усовершенствования процесса:
CPI дает предприятию существенное конкурентное преимущество и способствует достижению стратегических целей за счет повышения эффективности ее бизнеспроцессов и их непрерывной адаптации к изменяющимся внешним условиям;
CPI направлена на достижение результата в области повышения качества продукции через обеспечение качества процессов;
отличительной особенностью модели CPI от реинжиниринга является идея необходимости поддержки всего жизненного цикла процесса: нововведения в бизнес-процес- сах рекомендуется проводить поэтапно, сначала – в отдельных структурных подразделениях, а при положительном результате – и во всей организации в целом с обучением сотрудников и передачей новой технологии;
корпоративная философия CPI формирует у сотрудников чувство ответственности за результат командной работы, поощряет инициативу и мотивирует к поддержанию эффекта;
определяющие принципы CPI – постоянство и постепенность улучшений, обеспечивающие длительный и стабильный эффект при минимальных затратах;
CPI включает в себя не только описание бизнеса как сети взаимосвязанных процессов, но и постоянный контроль, управление и совершенствование, что подхода требует
описания, оптимизации и автоматизации бизнес-процессов
ЭТАПЫ ВНЕДРЕНИЯ:
выявляется сеть бизнес-процессов,
ранжирование по значимости, документирование и моделирование процессов «как есть» (модель AS-IS).
анализ построенных моделей и выявление «узких мест» процессов
построение модели «как надо» (модельTO-BE) на основании полученных результатов
261
12.2.6. МОДЕЛИ ПРОЦЕССНОГО ПОДХОДА
|
«AS-IS» - МОДЕЛЬ |
«TO-BE» - МОДЕЛЬ |
|
|
|
|
AS IS - модель «как есть», модель |
TO BE (SHOULD-BE, AS-TO- |
|
существующего состояния организации. |
BE) - модель «как должно |
|
Позволяет систематизировать протекающие |
быть». |
|
|
|
в данный момент процессы, а также |
Создается на основе модели |
|
используемые информационные объекты. |
AS IS, с устранением недоста- |
|
На основе этого выявляются узкие места в |
тков в существующей организа- |
|
ции бизнес-процессов, а так же с |
|
организации и взаимодействии бизнес-про- |
|
их совершенствованием и |
|
цессов, определяется необходимость тех или |
|
оптимизацией за счет устране- |
|
иных изменения в существующей структуре. |
|
ния выявленных узких мест. |
|
Такую модель часто называют функцио- |
|
В традиционном реинжини- |
|
нальной и выполняют с использованием |
|
ринге на основе модели TO BE |
|
различных графических нотаций. |
|
рекомендуется производить |
|
На этапе построения модели AS-IS важным |
|
автоматизацию бизнес-процес- |
|
считается строить максимально приближен- |
|
сов и проектировать КИС. |
|
ную к действительности модель, основанную |
|
|
|
на реальных потоках процессов. |
В настоящее время, в связи с |
|
Проектирование информационных систем и |
возрастающей популярностью |
|
|
|
управление процессами подразумевает |
CPI, снижается необходимость в |
|
построение модели AS IS и дальнейший |
долгой и трудоемкой подготовке |
|
переход к модели TO-BE |
данной модели TO BE |
|
|
|
262
12.2.7. ПРИНЦИПЫ ПРОЦЕССНОГО ПОДХОДА
Восприятие |
|
|
|
|
|
Восприятие |
|
Стандартизация |
бизнеса |
|
деятельности |
|
и прозрачность |
как системы |
|
|
|
как процесса |
|
ответственности |
|
|
|
|
|
|
|
|
|
|
любое предприятие рассматривается как система, а его развитие - как происходящее по законам сложных систем;
будучи в устойчивом состоянии, никакая система не может эволюционировать;
решение локальных проблем не может изменить систему. Ее изменение возможно лишь в целом
любую деятельность можно улучшить;
деятельность любого предприятия можно рассматривать как сеть связанных между собой процессов, поскольку все виды деятельности предприятия и процессы, соответствующие им, взаимосвязаны;
в любой деятельности может иметь место разделение как по времени, так по материальным ресурсам и персоналу;
любая целенаправленная, спланированная и при этом использующая ресурсы деятельность преобразует входную продукцию в выходную;
каждый процесс имеет внешнего или внутреннего поставщика входных ресурсов и внешнего или внутреннего потребителя
высшее руководство полностью отвечает за создание системы качества на предприятии и управление качеством;
каждый процесс должен иметь владельца, то есть персонифицирован, и ответственность должна распределяться по всем видам деятельности;
все процессные составляющие должны быть максимально стандартизированными и прозрачными;
стандартизацию следует проводить на основе взаимосвязанных стандартов, которые реализуются в виде нормативной документации и корпоративных стандартов
263
12.2.8а. ISO/IEC 27001: МЕЖДУНАРОДНЫЙ СТАНДАРТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Разработан международной организацией по стандартизации (ISO) и международной электротехнической комиссией (IEC) и содержит требования в области информационной безопасности для создания, развития и поддержания системы информационной безопасности
АЛГОРИТМ ВНЕДРЕНИЯ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Первый этап. Управленческий
Осознать цели и выгоды внедрения Получить поддержку руководства на
внедрение и ввод в эксплуатацию Распределить ответственность
Второй этап. Организационный
Создать и обучить группу по внедрению
иподдержке СМИБ Определить область действия
Третий этап. Первоначальный анализ СМИБ
Провести анализ существующей Определить перечень работ по доработ-
ке существующей СМИБ
Четвертый этап. Определение политики и целей СМИБ
Определить политику СМИБ Определить цели СМИБ по каждому
процессу СМИБ
Шестой этап. Планирование внедрения СМИБ
Определить перечень мероприятий для достижения требований стандарта
Разработать руководство по информационной безопасности
Седьмой этап. Внедрение системы управления рисками
Разработать процедуру по идентификации рисков
Идентифицировать и ранжировать активы Каталог «Модули» Определить ответственных за активы Оценить активы
Идентифицировать угрозы и уязвимости Каталог «Угрозы» Рассчитать и ранжировать риски
Разработать план по снижению рисков Каталог «Меры защиты» Определить неприменимые направления
безопасности Разработать положение о применимости
контролей
Пятый этап. Сравнение текущей ситуации со стандартом
Провести обучение ответственных требованиям стандарта
Проработать требования стандарта Сравнить требования стандарта с сущест-
вующим положением дел
264
12.2.8б. ISO/IEC 27001: МЕЖДУНАРОДНЫЙ СТАНДАРТ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
АЛГОРИТМ ВНЕДРЕНИЯ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Восьмой этап. Разработка документации СМИБ
Определить перечень документов (процедур, записей, инструкций) для разработки.
Разработка процедур и других документов:
управленческие процедуры (стандарт на разработку документов, управление документацией, записями; корректирующие и предупреждающие мероприятия; внутренний аудит; управление персоналом);
технические процедуры (приобретение, развитие и поддержка информационных систем; управление доступом; регистрация и анализ инцидентов; резервное копирование; управление съемными носителями);
записи управленческие (отчеты о внутренних аудитах; анализ СМИБ со стороны высшего руководства; отчет об анализе рисков; отчет о работе комитета по информационной безопасности; отчет о состоянии корректирующих и предупреждающих действий; договора; личные дела сотрудников и др.)
записи технические (реестр активов; план предприятия; план физического размещения активов; план компьютерной сети; журнал регистрации резервного копирования; журнал регистрации факта технического контроля после изменений в операционной системе; логи информационных систем; логи системного администратора; журнал регистрации инцидентов; журнал регистрации тестов по непрерывности бизнеса и др.);
инструкции, положения (правила работы с ПК и с информационной системой, правила обращения с паролями, инструкция по восстановлению данных из резервных копий, политика удаленного доступа, правила работы с переносным оборудованием и др.).
Разработка и введение в действие документов
Девятый этап. Обучение персонала
Обучение руководителей подразделений требованиям ИБ
Обучение всего персонала требованиям ИБ
Десятый этап. Разработка и принятие мер
по обеспечению работы СМИБ
Внедрение средств защиты: административных, учебных, технических
Одиннадцатый этап. Внутренний аудит СМИБ
Подбор команды внутреннего аудита Планирование внутреннего аудита СМИБ Проведение внутреннего аудита СМИБ
Двенадцатый этап. Анализ СМИБ со стороны высшего руководства
Тринадцатый этап. Официальный запуск СМИБ
Приказ о введении в действие СМИБ
Четырнадцатый этап. Оповещение заинтересованных сторон
Информирование клиентов, партнеров, СМИ о запуске СМИБ
НОРМАТИВНО-ПРАВОВЫЕ АКТЫ
1.Окинавская хартия глобального информационного общества. 22 июля 2000 г.
2.Доктрина информационной безопасности Российской Федерации, 2000 г. Поручение Президента РФ 2000 г. № Пр-1895
3.Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 9 сентября 2000 г. № Пр-1895)
4.Федеральный закон № 5485-1 «О государственной тайне», 21 июля 1993 г. (с изм. от 11.12.2011 г.), 5. Федеральный закон № 98-ФЗ «О коммерческой тайне», 29 июля 2004 г.
6.Федеральный закон № 152-ФЗ «О персональных данных», 27 июля 2006 г.
7.Федеральный закон № 69-ФЗ «О пожарной безопасности».
8.Международный стандарт ИСО/МЭК 27001. Первое издание 2005-10-15. Информационные технологии. Методы защиты. Системы менеджмента защиты информации.
9.ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности критерии оценки безопасности информационных технологий (КОБИТ). Части 1, 3-5.
10.ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
ОСНОВНАЯ ЛИТЕРАТУРА
1.Рассолов И.М. Информационное право. Учебник. – М.: Норма: ИНФРА-М, 2010.
2.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. – М.: Академический Проект; Фонд «Мир», 2009.
ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА
1.1. Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность/Петренко С. А., Симонов С. В. - М.: Компания АйТи; ДМК Пресс, 2011.
2.Садердинов А.А. Информационная безопасность предприятия. – М.: Дашков и Ко, 2004.
3.Ярочкин В.И. Система безопасности фирмы. – М.: Ось-89, 2010.
4.Курносов Ю.В., Конотопов П.Ю. Аналитика: методология, технология и организация информационно-аналитической работы. – М.: Издательство «Русаки», 2004.
5.Викентьев И.Л. Приемы рекламы и Public Relations. – СПб, 2008.
