Читайте также: |
|
Основные цели и задачи компании или госучреждения являются основой всех бизнес-процессов, деятельности специалистов, включая информационную безопасность. Поэтому чтобы оговорить соответствующую ИТ стратегию, каждая организация должна определить свои наиболее важные бизнес-процессы и задачи специалистов, а также их зависимость от ИТ. Сегодня вряд ли найдется важный бизнес-процесс, который обходится без поддержки ИТ. Связь между бизнес-процессами и используемой информационной технологией образует основу для решения, какой уровень безопасности является подходящим в каждом случае. Это процесс принятия решения более подробно описан ниже.
Для каждого бизнес-процесса и приложений специалистов долено быть заранее назначено контактное лицо. Этот человек действует как так называемый "владелец информации" по всем проблемам, имеющим отношение к обработке данных по данному бизнес-процессу. Контактное лицо или владелец информации несет ответственность, например, за назначение задач и управление информацией по своему бизнес-процессу. По каждому бизнес-процессу и задаче специалиста решается, как управлять важной информацией, т.е. требуемый уровень защиты. Наконец, руководство должно согласовать требования защиты каждого бизнес-процесса, т.к. требования безопасности вытекают из них, а также они определяют распределение ресурсов.
Анализ бизнес-процессов предоставляет сведения о влиянии происшествий в системе безопасности ИТ на деятельность бизнеса. Во многих случаях достаточно работать с самым общим описанием бизнес-процессов.
Следует ответить на следующие вопросы:
• Какие бизнес-процессы зависят от функциональной информационной технологии, т.е. ИТ, которые удовлетворяют требования и работают должным образом?
• Какая информация обрабатывается для этих бизнес-процессов?
• Какая информация особенно важна и поэтому должна быть защищена в отношении конфиденциальности, целостности и доступности (напр., личные данные, данные клиента, стратегическая информация, коммерческие тайны, такие как планы развития, патента, описания работ)?
Множество внутренних условий может повлиять на ИТ-безопасность, и это должно учитываться. На ранних этапах нет необходимости описывать информационную технологию детально. Должно быть общий обзор, какую информацию обрабатывать для бизнес-процесса с помощью каких ИТ-приложений и систем.
В тому же, должны быть определены все внешние условия, влияющие на безопасность ИТ, напр., нормы закона, влияние окружения, клиенты, требования поставщиков и партнеров, отраслевые стандарты безопасности.
Чтобы определить важные условия для каждого ключевого бизнес-процесса как можно быстрее и как можно подробнее, следует провести короткую встречу по обсуждению безопасности (мозговой штурм) для каждого бизнес-процесса. Встречи по безопасности должны проводить сотрудники Отдела безопасности ИТ с соответствующим владельцем информации или ответственным специалистом и лицом, ответственным за ИТ. Результаты следует задокументировать в соответствии с установленной схемой.
Выполненные действия:
• Назначение контактных лиц для всех бизнес-процессов и приложений специалистов;
• Общая оценка ценности информации, бизнес-процессов и приложений специалистов;
• Определение условий окружения.
Дата добавления: 2015-11-14; просмотров: 46 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Принятие на себя ответственности руководством | | | Формулировка общих целей безопасности ИТ |