1.2.Нормативная база управления ИБ
27789:2013 Аудит электронных медицинских записей 27799:2008 Управление ИБ в сфере здравоохранения (ГНР)
11633-2:2009 Управления ИБ для дистанционного обслуживания медицинских приборов и медицинских инф.систем. Часть 2: Внедрение СУИБ
29147:2014 Обнаружение уязвимостей 30111:2013 Процессы устранения уязвимостей
20004:2012 |
Усовершенствование анализа уязвимостей ПО на базе ISO/IEC 15408 и ISO/IEC |
18045 (готовится 2 новых части) |
24772:2013 |
Рекомендации по избежанию уязвимостей в программных языках посредство |
|
выбора и использования языка |
||
|
18045:2008 
Методология15408) оценки безопасности ИТ (стандарт, сопровождающий ISO/IEC
1.2.Нормативная база управления ИБ |
|
|
|
Российский стандарт |
Международный |
Британский |
|
|
стандарт |
стандарт |
|
ГОСТ Р ИСО/МЭК 27000-2012 |
ISO/IEC 27000:2009 |
|
|
ГОСТ Р ИСО/МЭК 27001-2006 |
ISO/IEC 27001:2005 |
BS 7799-2:2002 |
|
ГОСТ Р ИСО/МЭК 27002-2012 |
ISO/IEC 27002:2005 |
BS 7799-1:2002 |
|
ГОСТ Р ИСО/МЭК 27003-2012 |
ISO/IEC 27003:2010 |
|
|
ГОСТ Р ИСО/МЭК 27004-2011 |
ISO/IEC 27004:2009 |
|
|
ГОСТ Р ИСО/МЭК 27005-2010 |
ISO/IEC 27005:2008 |
BS 7799-3:2005 |
|
ГОСТ Р ИСО/МЭК 27006-2008 |
ISO/IEC 27006:2007 |
|
|
ГОСТ Р ИСО/МЭК 27007-2014 |
ISO/IEC 27007:2011 |
|
|
ГОСТ Р ИСО/МЭК 27011-2012 |
ISO/IEC 27011:2008 |
|
|
ГОСТ Р ИСО/МЭК 27013-2014 |
ISO/IEC 27013:2012 |
|
|
ГОСТ Р ИСО/МЭК 27031-2012 |
ISO/IEC 27031:2011 |
|
|
ГОСТ Р ИСО/МЭК 27033-1-2011 |
ISO/IEC 27033-1:2009 |
|
|
ГОСТ Р ИСО/МЭК 27033-3-2014 |
ISO/IEC 27033-3:2010 |
|
|
ГОСТ Р ИСО/МЭК 27034-1-2014 |
ISO/IEC 27034-1:2011 |
|
|
ГОСТ Р ИСО/МЭК 27037-2014 |
ISO/IEC 27037:2012 |
|
|
ГОСТ Р ИСО/МЭК 18045-2013 |
ISO/IEC 18045:2008 |
|
|
ГОСТ Р ИСО/МЭК 15408-1-2008 |
ISO/IEC 15408-1:2005 |
|
|
ГОСТ Р ИСО/МЭК 15408-2-2013 |
ISO/IEC 15408-2:2008 |
|
|
ГОСТ Р ИСО/МЭК 15408-3-2013 |
ISO/IEC 15408-3:2008 |
47 |
|
УИБ |
Тема 1 |
1.2.Нормативная база управления ИБ
Нормативная база управления ИБ: Стандарты серии ГОСТ Р ИСО/МЭК 27000:
1.ГОСТ Р ИСО/МЭК 27000-2012 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Общий обзор и терминология». 2.ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Требования.
3.ГОСТ Р ИСО/МЭК 27002-2012 ИТ. Методы и средства обеспечения безопасности. Практические правила менеджмента ИБ.
4.ГОСТ Р ИСО/МЭК 27003-2012 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента ИБ. Руководство по реализации системы менеджмента ИБ» 48
5.ГОСТ Р ИСО/МЭК 27011-2012 ИТ. Методы и
УИБ |
Тема 1 |
1.2.Нормативная база управления ИБ
Нормативная база управления ИБ: Стандарты «управление ИБ ИТТ»:
1.ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
2.ГОСТ Р ИСО/МЭК ТО 13335-3-2007 ИТ. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий.
3.ГОСТ Р ИСО/МЭК 13335-4-2006 ИТ. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер.
4.ГОСТ Р ИСО/МЭК ТО 13335-5-2006 ИТ. Методы и средства обеспечения безопасности. Часть 5. 49
Руководство по менеджменту безопасности сети.
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
50
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Эволюция понятия (с 1970г.)
51
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Эволюция понятия (с 1970г.)
«безопасность данных» (англ. data security), «компьютерная безопасность» (computer security),
«безопасность информации» или «информационная безопасность» (information security),
«безопасность ИТ» (IT security), «сетевая безопасность» (network security), «безопасность систем» (systems security), «защита информации» (information protection)
52
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Эволюция понятия (с 1970г.)
«безопасность данных» (англ. data security), «компьютерная безопасность» (computer security),
«безопасность информации» или «информационная безопасность» (information security),
«безопасность ИТ» (IT security), «безопасность систем» (systems security) и «защита информации» (information protection), «сетевая безопасность» (network security).
Россия:
«безопасность информации» или «информационная безопасность» (information security),
«защита информации» (information protection).
53
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
54
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
БЕЗОПАСНОСТЬ (Б)
55
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
БЕЗОПАСНОСТЬ (Б)
Б- состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз (Закон РФ от 05.03.1992 № 2446-1 «О безопасности»)
Б– … (Закон РФ от 28.12.2010 № 390-ФЗ)
Б– отсутствие недопустимого риска, связанного с возможностью нанесения ущерба (ГОСТ Р 1.1-2002)
Б(защищаемого объекта - предприятие, организация, учреждение, домовладение и т.п.) - состояние защищенности объекта от угроз причинения ущерба (вреда) жизни и здоровью людей, имуществу физических и юридических лиц, государственному и муниципальному имуществу, техническому состоянию, инфраструктуре жизнеобеспечения, внешнему виду, интерьеру(ам), ландшафтной архитектуре, окружающей природной среде (ГОСТ Р 53704-2009 «Системы безопасности комплексные и интегрированные. Общие технические
требования»). |
56 |
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
57
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Доктрина информационной безопасности Российской Федерации:
58
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Доктрина информационной безопасности Российской Федерации:
«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства»
59
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Доктрина информационной безопасности Российской Федерации:
«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства»
Интересы личности в информационной сфере:
реализация конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также на защиту информации, обеспечивающей личную безопасность
60
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Доктрина информационной безопасности Российской Федерации:
«Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства»
Интересы личности в информационной сфере:
реализация конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также на защиту информации, обеспечивающей личную безопасность
Интересы государства в информационной сфере:
создание условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности
61
России, политической, экономической и социальной стабильности,
безусловное обеспечение законности и правопорядка, развитие
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
62
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Чаще всего понимают:
63
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Чаще всего понимают:
•защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры;
•механизм защиты, обеспечивающий конфиденциальность, целостность и доступность информации;
•свойство информации сохранять конфиденциальность, целостность и доступность.
64
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
65
УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Безопасность информации:
66
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
|
|
ИНФОРМАЦИОННАЯ |
|
|
|
|
БЕЗОПАСНОСТЬ |
|
|
|
|
|
|
|
|
|
Безопасность информации: |
|
|
|
|
|||
• |
состояние защищенности информации, обрабатываемой |
|||
|
средствами вычислительной техники или |
|||
|
автоматизированной системы, от внутренних или внешних |
|||
|
угроз |
|||
|
Руководящий документ Гостехкомиссии России от 30 марта |
|||
|
1992 г. «Защита от несанкционированного доступа к |
|||
|
|
информации. Термины и определения» |
||
• |
состояние защищенности информации, при котором |
|||
|
обеспечивается ее конфиденциальность, доступность и |
|||
|
целостность |
|||
|
Рекомендациям по стандартизации Р 50.1.053-2005 |
|||
|
«Информационные технологии. Основные термины и |
|||
|
определения в области технической защиты информации» |
|||
|
и ГОСТ Р 50922-2006 «Защита информации. Основные |
|||
|
|
термины и определения» |
||
67
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Безопасность информации:
• состояние защищенности информации, обрабатываемой
средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз
Руководящий документ Гостехкомиссии России от 30 марта 1992 г. «Защита от несанкционированного доступа к информации. Термины и определения»
•состояние защищенности информации, при котором обеспечивается ее конфиденциальность, доступность и целостность
Рекомендациям по стандартизации Р 50.1.053-2005 «Информационные технологии. Основные термины и
•Угрозаопределенияпотенциальнаяв областипричинатехническойинцидента, которыйзащитыможетинформации»нанести ущерб системеи ГОСТилиР организации50922-2006 «Защита[ГОСТ Р ИСО/МЭКинформации13335-1. -Основные2006];
•Угроза ИБ - совокупность условий и факторов,терминысоздающихи определения» потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006];
68
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
69
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Свойства информации:
70
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Свойства информации:
Конфиденциальность: доступ к информации только авторизованных пользователей Доступность: доступ к информации и связанным с ней активам
авторизованных пользователей по мере необходимости Целостность: достоверность и полнота информации и методов
ее обработки;
ГОСТ Р ИСО/МЭК 27000-2012
71
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
Свойства информации:
Конфиденциальность: доступ к информации только авторизованных пользователей Доступность: доступ к информации и связанным с ней активам
авторизованных пользователей по мере необходимости Целостность: достоверность и полнота информации и методов
ее обработки;
ГОСТ Р ИСО/МЭК 17799-2005
Аутентичность или подлинность (authenticity) - свойство, гарантирующее, что субъект или ресурс идентичны заявленным;
Неотказуемость или неоспоримость (non-repudiation) – способность удостоверять имевшее место действие или
событие так, чтобы эти события или действия не могли быть позже отвергнуты [ГОСТ Р ИСО/МЭК 13335-1-2006];
Достоверность или функциональность (reliability) – 72
свойство соответствия преднамеренному поведению и
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
73
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
•состояние защищенности национальных интересов в информационной сфере, определяемых
совокупностью сбалансированных интересов
личности, общества и государства.
Доктрина информационной безопасности РФ
•безопасность, связанная с угрозами в
информационной сфере (состояние защищенности
интересов (целей) организации БС РФ в условиях
угроз),.
Стандарт Банка России СТО БР ИББС-1.0
74
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
•состояние защищенности национальных интересов в информационной сфере, определяемых
совокупностью сбалансированных интересов
личности, общества и государства.
Доктрина информационной безопасности РФ
•безопасность, связанная с угрозами в
информационной сфере (состояние защищенности
интересов (целей) организации БС РФ в условиях
угроз),.
Стандарт Банка России СТО БР ИББС-1.0
•Защищенность достигается обеспечением совокупности свойств ИБ
— доступности, целостности, конфиденциальности информационных активов.
•Информационный актив: информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации, находящаяся в распоряжении организации и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.
•Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение75
и использование информации, а также системы регулирования
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средства ее обработки.
ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»
76
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
состояние защищённости информации, которое достигается обеспечением совокупности для нее свойств доступности, целостности, конфиденциальности, аутентичности, подотчетности, неотказуемости и достоверности.
77
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
«управление» - осуществление совокупности непрерывных взаимосвязанных воздействий на объект (управляемую систему), выбранных из множества возможных воздействий на основании информации о поведении объекта и состоянии внешней среды для достижения заданной цели;
Пояснения
•Control – исторически первый из применяемых в информационных технологиях (ИТ) терминов, отражающий самые простейшие операции в области управления, в большей степени с точки зрения технического аспекта деятельности.
•Management – термин, который первоначально употреблялся в отношении управления человеческими ресурсами; в настоящее время встречается в сочетании с множеством понятий из области ИТ и имеет смысл организации и регулирования какой-либо деятельности, т. е. ее администрирования.
•Governance – термин, который стал активно использоваться применительно к ИТ только в последнем десятилетии; под ним обычно понимается руководство по организации и контролю за
какой-либо деятельностью. Это слово переводится на русский как
«власть, руководство, управление». |
78 |
|
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
2.Концептуальные подходы к управлению ИБ |
||
Термины и определения |
||
Пояснения: |
|
|
• |
Менеджмент – |
|
• |
как особый вид профессионально осуществляемой |
|
|
деятельности, направленной на достижение определенных |
|
|
целей путем рационального использования материальных и |
|
|
трудовых ресурсов с применением определенных научных |
|
|
подходов, принципов, функций и методов; |
|
|
• |
объединение управленческой деятельности с кадровой |
|
|
политикой; |
• |
состояние всей управленческой инфраструктуры в различных |
|
|
масштабах; |
|
|
• |
процесс оптимизации человеческих, материальных и |
|
финансовых ресурсов для достижения организационных целей; |
|
• |
теория и практика научного и хозяйственного управления |
|
|
организацией в условиях рынка; |
|
• система научных знаний, составляющих теоретическую базу
практического опыта в области управления и имеющих междисциплинарный характер;
•совокупность лиц, идентифицируемых с менеджерами, а также с органами или аппаратом управления и т. п.
79
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
2.Концептуальные подходы к управлению ИБ
Термины и определения
Пояснения
•Менеджмент –
•способ (манера) обращения с людьми, власть и искусство управления, особого рода административные навыки, орган управления;
•совокупность принципов, форм, методов, приемов и средств управления производством и производственным персоналом с использованием достижений науки управления ;
•искусство управления интеллектуальными, финансовыми, материальными ресурсами ;
•эффективное и результативное достижение целей организации
посредством планирования, организации, лидерства (руководства) и контроля над организационными ресурсами ;
•скоординированная деятельность по руководству и управлению организацией [ГОСТ Р ИСО 9000-2001].
Выводы:
1.Иногда делают вывод, что понятие менеджмента шире, чем просто управление.
2.Для ИБ более подходит термин «менеджмент ИБ»
80
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
Управление ИБ – Управление обеспечением ИБ
Управление ИБ:
совокупность целенаправленных действий, осуществляемых для обеспечения нормального функционирования основных процессов и, в конечном счете, достижения бизнес целей организации посредством обеспечения защищенности ее информационной сферы.
Определение:
«информационная сфера» - представляет собой совокупность информации, информационной инфраструктуры (состоит из баз данных и знаний, систем связи и т. п.), субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений. 81
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
Управление ИБ – Управление обеспечением ИБ
Различают:
Управление ИБ организации Управление ИБ технологии (ИТТ)
Определение: |
|
|
|
||
«Управление ИБ организации» - управление ИБ организации |
|||||
|
как циклический процесс, состоящий из совокупности |
|
|||
|
целенаправленных действий, осуществляемых для |
|
|||
|
достижения заявленных бизнес целей организации |
|
|||
|
посредством обеспечения защищенности ее |
|
|||
|
информационной сферы, и включающий : |
|
|||
• |
осознание необходимости ОИБ, |
постановку задачи по ОИБ, |
|||
|
|
|
• |
||
• |
оценку текущей ситуации и состояния объекта управления, |
||||
|
|
• |
планирование мер по обработке рисков ИБ, |
||
• |
реализацию, внедрение и оценку эффективности |
|
|||
|
соответствующих защитных мероприятий и средств |
|
|||
|
управления, |
|
|
|
|
|
• |
распределение ролей и ответственности в области ОИБ, |
|||
• |
обучение и мотивацию сотрудников, выбор управляющих и |
||||
|
корректирующих воздействий и их реализацию. |
82 |
|||
|
|
|
|
|
|
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
Управление ИБ организации
В целом процесс управления ИБ организации, носящий циклический характер, заключается в следующем:
•описание объектов управления и защищаемых активов организации и сбор данных об их состоянии;
•выявление и формализация возможных угроз ИБ и анализ рисков ИБ;
•оценка защищенности объектов управления (с выявлением уязвимостей) и ее сравнение с требованиями по ОИБ организации, сформулированными в Политике ИБ организации (ПолИБ);
•формирование управляющих воздействий;
•оценка результирующей деятельности по управлению ИБ. Определение:
«Политика ИБ организации» - документация, определяющая высокоуровневые цели, содержание и основные направления и устанавливающая правила, процедуры,
практические приемы и руководящие принципы |
|
обеспечения ИБ активов организации, которыми она |
|
руководствуется в своей деятельности. |
83 |
|
УИБ |
1.3.Терминология в области УИБ |
Тема 1 |
Управление ИБ в организации включает в себя две важнейшие составляющие:
-собственно сам процесс управления ИБ;
-систему управления ИБ (СУИБ) организации.
Определение:
«Система управления ИБ организации» - часть общей системы управления организации,
основанная на подходе оценки и анализа бизнес-рисков,
предназначена (назначение СУИБ) для разработки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения системы обеспечения ИБ,
включающая (структура СУИБ) организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ
84
УИБ |
1.4.Процессный подход |
Тема 1 |
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
Определения:
«процесс» – это совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующая входы в выходы и требующая для этого определенных ресурсов и управляющих воздействий (управления);
«бизнес-процесс» - множество из одной или нескольких упорядоченных во времени,
логически связанных и завершенных видов деятельности, в совокупности поддерживающих деятельность
организации и реализующих ее политику, направленную на достижение 85 поставленных целей;
УИБ |
1.4.Процессный подход |
Тема 1 |
2.Концептуальные подходы к ИБ Термины и определения
Управление: процессный подход (улучшение процессов)
Процессный подход: циклическая модель (для структурирования всех процессов управления и для обеспечения учета всех значимых элементов процессного подхода) PDCA (от англ. Plan- Do-Check-Act – планируй – выполняй – проверяй – действуй»)
Циклическая модель:
Предложена и развита двумя американскими учеными и специалистами в теории управления качеством. Шухарт (Walter A. Shewhart) (1939 г. «Статистические методы с точки зрения управления качеством»)
Пропагандировалась: Деминг (William Edwards Deming) в качестве основного способа достижения непрерывного улучшения процессов (цикл PDSA).
86
УИБ |
1.4.Процессный подход |
Тема 1 |
Управление качеством результатов деятельности организации Модель Шухарта (1939) – три стадии:
87
УИБ |
1.4.Процессный подход |
Тема 1 |
Управление качеством результатов деятельности организации Модель Шухарта (1939) – три стадии (цикличность):
УИБ |
1.4.Процессный подход |
Тема 1 |
Управление качеством результатов деятельности организации
Модель Шухарта (1939) – три стадии Цикличность:
Первый цикл – совершенствование «Спецификации» Последующие циклы – совершенствование
89
УИБ |
1.4.Процессный подход |
Тема 1 |
Управление качеством результатов деятельности организации Модель Деминга (-Шухарта) – четыре стадии
90
УИБ |
1.4.Процессный подход |
Тема 1 |
Управление качеством результатов деятельности организации
Модель Деминга (-Шухарта) – четыре стадии PDCA – «планируй – сделай – проверь – действуй» PDSA – «планируй – сделай – изучи – действуй»
91
УИБ |
1.4.Процессный подход |
Тема 1 |
Эталонная модель Деминга (-Шухарта) – Цикл Деминга PDCA – «планируй – сделай – проверь – действуй»
ISO/TC 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package:
Guidance on
Concept and Use of the Process Approach for management systems, 13 may 2004»
92
УИБ |
1.4.Процессный подход |
Тема 1 |
Модель Деминга (-Шухарта) – Цикл Деминга (PDCA)
«ПЛАНИРОВАНИЕ»: установление целей и процессов, необходимых для выработки результатов в соответствии с требованиями клиентов и политики организации; «ВЫПОЛНЕНИЕ» («реализация»): реализация запланированных процессов и решений;
«ПРОВЕРКА»: контроль и измерение процессов и производимых продуктов относительно политик, целей и требований к продукции и отчетность о результатах;
«ДЕЙСТВИЕ»
(«совершенствование»): принятие корректирующих и превентивных мер для постоянного совершенствования функционирования процесса.
93
УИБ |
1.4.Процессный подход |
Тема 1 |
Модель Деминга (-Шухарта) – Цикл Деминга (PDCA)
ШИРОКОЕ применение («волшебный цикл»): Национальные стандарты: ГОСТ Р ИСО/МЭК 27001-2012;
ГОСТ Р ИСО 90000 (качество); ГОСТ Р ИСО 14000 (экология).
Отраслевые стандарты: СБР ИББС-1.0-2010 (Банк России); автомобилестроение; поставка и безопасность продуктов
питания Направления деятельности: безопасность (экономическая,
физическая, информационная и пр.)
В основе практики реализации модели Деминга лежит процессный подход
94