№ 5 сентябрь-октябрь 2007 г. Тема номера: SOA И ЗАЩИТА ОТ НСД
		НАЧНЕМ С НАЧАЛА. ИНТУИТИВНОЕ ПОНИМАНИЕ «БИЗНЕС-ПРОЦЕССА» С. Э. Ковалев, ООО «Концептуальные системы»

Настоящей статьей открывается цикл, посвященный самому первому этапу построения системы информационной безопасности – выделению и анализу бизнес-процессов организации и различным подходам к этому священнодействию. Первая статья призвана разбудить интерес к «бизнес-процессированию», дать обзор вопросов, возникающих у каждого думающего человека при знакомстве с данной областью.

Для чего это необходимо

Базовым понятием стандарта ИБ ISO 27001:2005 является «бизнес-процесс». На основе выделенных на этапе анализа бизнес-процессов строится модель защиты информационных ресурсов и последующее внедрение модели в существующую бизнес-среду. Аксиомой построения работающей системы защиты является именно четкое и грамотное выделение бизнес-процессов организации. Построение модели защиты вообще не является проблемой при грамотной отработке «нулевого цикла» – выделения бизнес-процессов – и четко регламентируется методологией стандарта.

Несмотря на очевидность посылки, на удивление мало информационных материалов встречается именно по ключевой задаче. Бизнес-процесс не объят методикой (или методологией) и является элементом творчества как компаний, специализирующихся на консалтинге информационной безопасности, так и организаций-заказчиков. Причем качество «творчества» сильно варьируется и зависит как от опыта консультанта (в том числе наличия «накатанных» решений), так и от требований заказчика, в том числе его стиля работы. Один фактор следует отметить особо – проект не будет успешным в случае нежелания заказчика применять и поддерживать элементы командного стиля работы. Сотрудники организации будут иметь самое непосредственное отношение к функционированию разработанной системы информационной безопасности и многие из них будут отвечать за правильное функционирование одного или нескольких бизнес-процессов, выделенных консультантом в сотрудничестве с вами – заказчиком. Если вы задумываетесь о внедрении ISO 27001:2005, но работа вашей организации построена только на «харизме» вашего руководителя либо на жесткой структуре подчинения, – немедленно ОТКАЖИТЕСЬ от мысли о внедрении систем, подобных стандарту информационной безопасности или стандартам качества. Это не принесет ничего кроме огорчений и расходов. Конечно, имеется в виду работающая и приносящая пользу система, а не дополнительный баннер к вашей рекламной кампании.

Итак – вы решились. Ваши сотрудники чувствуют себя командой и есть необходимость соответствовать стандарту ISO 27001:2005. Ну что же, теперь предстоит самая сложная и неоднозначная часть – выделение бизнес-процессов.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru