Информатизация бизнеса. Управление рисками. С. М. Авдошин. Читать онлайн. Newlib. NEWLIB.NET

Автор: С. М. Авдошин
Издательство:
Серия:
Жанр произведения: Управление, подбор персонала
Год издания: 2011
isbn: 978-5-94074-109-1
Скачать книгу
в пределах организаций некоторой отрасли. Стандарты разрабатываются с учетом требований мирового опыта и специфики отрасли.

      К наиболее известным отраслевым стандартам для ИТ-индустрии можно отнести стандарты IEEE – Института инженеров по электронике и SEI (Software Engineering Institute) – Института программной инженерии.

      Государственные стандарты (ГОСТы) принимаются государственными органами, имеют силу закона. Разрабатываются с учетом мирового опыта или на основе отраслевых стандартов. Могут иметь как рекомендательный, так и обязательный характер (стандарты безопасности). Для сертификации создаются государственные или лицензированные органы сертификации.

      Для построения обобщенной классификации выделим следующие группы методологий управления и внедрения ИТ:

      1) стандарты оценки и управления информационной безопасностью: ISO/IEC 27000/17799, BS 7799;

      2) методологии ИТ-аудита: COSO, CobiT, SAC, SAS 55/78;

      3) универсальные методологии: ГОСТ 34, PMI PMBOK, IPMA ICB, P2M, PRINCE2;

      4) методологии внедрения ПО и управления в сфере ИТ: CobiT, SWEEBOK, MSF, RUP, CMM/CMMI (SEI), ORACLE AIM, ITIL, CRAMM, CORAS, OCTAVE.

      Рассмотрим наиболее распространенные стандарты и методологии внутри выделенных категорий.

      1. Стандарты оценки и управления информационной безопасностью. Семейство международных стандартов по информационной безопасности в области информационных технологий ISO/IEC 27000/17799, основанное на Британском стандарте BS 7799, включает в себя требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению. В стандарте описаны жесткие требования к разработке, внедрению и совершенствованию Системы управления информационной безопасностью (СУИБ) и рекомендации к внедрению мер контроля и управления рисками, основанные на «лучших практиках».

      Требования стандарта, обязательные для внедрения, не накладывают каких-либо технических требований на ИТ-средства или средства защиты информации – стандарт не ставит каких-либо ограничений на выбор программно-аппаратных средств и оставляет организации полную свободу выбора технических решений по защите информации.

      Преимуществами стандартов, с точки зрения управления ИТ-рисками, являются их общедоступность, наличие русскоязычных версий, поддержка производителей программного обеспечения. К недостаткам можно отнести ограниченность описания рисков информационной безопасности, отсутствие детальных классификаторов, рекомендаций по борьбе с конкретными рисками информационной безопасности.

      Управление рисками в жизненном цикле программных проектов специально регламентировано международными стандартами ISO 12207 «Процессы жизненного цикла программных средств» и ISO 15504 «Оценка и аттестация зрелости процессов создания и сопровождения программных средств и информационных систем», которые целесообразно использовать при разработке комплексов программ. В стандарте ISO 15504 содержится специальный раздел «МАН.4. Процесс управления рисками», назначением которого являются