ответы на вопросы процессное управление иб. зачет 18-19. Анализа процесса планировании процесса стандартизации
 Скачать 240.83 Kb.
|
|
18. Графическое моделирование сложных систем. Важную роль при осуществлении: − анализа процесса; − планировании процесса; − стандартизации процесса. Критериями выбора методов графического описания процессов являются: − единое и универсальное представление информации в инструменте моделирования; − меньшая сложность и большая обозримость моделей процессов; − согласованность и возможность анализа. Специалисты выделяют две распространенные типовые методики. Первый способ - процессы как алгоритмы выполнения работ, например в виде блок-схем (состояние входа – преобразование – состояние выхода). Другой способ - процесс как поток объектов (поток на входе – преобразование – поток на выходе): на входе – ресурсы (информационные, материальные, финансовые и т. д.), на выходе – продукты или услуги. Какова прикладная задача=, таковы степень и методика детализации процессов.  декомпозиция процессов - алгоритмизация. Доведение описания до алгоритма - степень его подробности становится настолько детальной, что простое следование алгоритму позволяет исполнить процесс от начала до конца.Блок-схема бизнес-процесса, если используют фигуры  .Для уточнения степени и последовательности участия подразделений и должностных лиц в процессе целесообразно построить его алгоритм, распределив по этапам процесса его участников, чтобы показать межфункциональные процессы в целях анализа, планирования и координации деятельности участников.  Другой прием заключается в построении алгоритма процесса, в котором операции привязаны к расположению мест, где они выполняются  .Получается карта процесса, координатную плоскость которой образуют географические координаты или координаты здания или помещения, в котором производится процесс. Например, по ней видно, если расстояние большое между операциями для выполнения обслуживания клиента.Инструмент, который используют для создания укрупненной карты процесса, иногда называют SIPOC, что означает: Supplier – поставщик: лицо/процесс/компания, поставляющие все, что используется в процессе. Input – вход: поставляемые ресурсы. Process – процесс: этапы преобразования ресурсов в ценность для клиента. Output – выход: продукт, услуга направляемые или оказываемые клиенту. Customer – потребитель: следующий этап процесса или конечный потребитель. Поставщик, потребитель, вход и выход рассматриваются в данном случае как внешние по отношению к процессу объекты: входы поставляются другими процессами самой организации или внешними поставщиками, а выходы (результаты) необходимы другим процессам самой организации или внешним потребителям. Таким образом, поставщики и потребители могут быть как внешними, так и внутренними относительно самой организации. 19. В чем сущность процессного подхода к управлению информационной безопасностью? предусматривает непрерывный цикл мероприятий: «планирование – реализация – проверка – совершенствование» ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 При таком подходе к управлению ИБ особое значение придается следующему: пониманию требований по ОИБ организации и необходимости определить политику и цели ОИБ; внедрению и использованию обоснованных защитных мер для управления рисками ИБ организации в контексте общих бизнес-рисков организации; мониторингу и анализу результативности и эффективности СУИБ; постоянному совершенствованию, основанному на объективных показателях. Одна из основных целей внедрения СУИБ – создание условий в организации, когда происходит постоянный мониторинг и улучшение каждого из процессов ОИБ и смежных процессов. Взаимно усиливая друг друга, эти улучшения позволяют создать все более совершенную систему. Процессный подход к СУИБ показан на рис. СУИБ принимает в качестве входных данных требования по ОИБ и ожидания заинтересованных сторон, и в результате ряда необходимых действий и процессов на выходе получается управляемая ИБ, которая удовлетворяет этим требованиям и ожиданиям.  На стадии планирования обеспечивается правильное задание контекста и масштаба СУИБ, оцениваются риски ИБ, предлагается соответствующий план обработки этих рисков. На стадии реализации внедряются решения, принятые во время планирования. Чтобы гарантировать, что СУИБ в целом достигает своих целей, необходимы периодические проверки.  Целью выполнения «планирования» является запуск цикла СУИБ путем определения первоначальных планов ее построения, ввода в действие и контроля, а также определения планов по совершенствованию на основании решений, принятых на этапе «Совершенствование» (если это уже не первый цикл). На этапе «Реализация» происходит внедрение системы и разработанных процессов управления ИБ, их последующая эксплуатация, а именно внедрение и применение политики в отношении СУИБ, защитных мер, процессов и процедур СУИБ. Целью «Проверки» является обеспечение достаточной уверенности в том, что СУИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, а также внутренним и/или внешним условиям функционирования организации, влияющим на ИБ. Группа процессов «совершенствование» включает в себя деятельность по принятию решений о реализации тактических и/или стратегических улучшений СУИБ. Переход к этому этапу осуществляется только тогда, когда выполнение процессов этапа «Проверка» дало результат, требующий совершенствования СУИБ. При этом сама деятельность по совершенствованию СУИБ должна реализовываться в рамках групп процессов «реализация» При разработке корректирующих или предупреждающих действий обязательно проводится оценка необходимости и адекватность затрат на проведение этих действий. Решение о предупреждающем или корректирующем действии принимается только при условии, если это действие не влияет на целостность СУИБ. По результатам выполнения корректирующего или предупреждающего действия в сроки, установленные при планировании этого действия, осуществляется контроль эффективности его выполнения. |