Управление

информационной
безопасностью
Базовая терминология
1. Систе ма(о тгреч . σύστ ημα–“с остав ленный”)– совок упнос тьвзаи мосвя занныхивз аимод ейств ующихэ лемен тов. Я яч

1. Ф ормал ьноео предел ение

Си ст ема ( от г реч. σ ύστ ημ α — “со ст ав ленн ый”) — эт о со вокуп ност ь взаи мосвя занных ивзаи моде йст в ующих э лемен т ов.

жжжжжжжжжжж++++ ++++++ +++

2
 1. Система (от греч. σύσ τημα – “составленный”) – совок упность взаимосвязанных и взаимодейст вующих элементов. Яяч

2. Дадим более детальное определение

Система – мно жество, состоящее из двух или б олее элементо в. Это мн ожество удовл етворяет следующим условиям:
- поведение каждого элемента влияет на поведение целого;
- по ведение каждого элемента и его влияние на целое в свою очер едь зависит от поведения другого элемента. Н и один элемент самостоятельно не влияет на систему в целом ;
- элементы системы соединены таким образом, что о бразование ими независимых подгрупп невозможно.

3. Дадим тр етье определение

Система – это множество (совокупность) элементов (объектов) любой природы, которые взаимодействуют между собой для достижения общей цели, причём это множество обладаетсистемным свойством (свойствами), которым не обладает ни один из элементов и ни одно из подмножеств этих элементов при любом спо собе членения.

жжжжжжжжжжж+++++++++++++

3
 Рассмотрим свойства системы:
1. целостность (первичность целого по отношению к элементам);
2. неаддитивность (принципиальная несводимость свойств системы к
сумме свойств составляющих её элементов);
3. синергетичность (однонаправленность действий элементов усиливает
эффективность её функционирования);
4. эмерджентность (появление новых свойств и качеств у множества
элементов системы, которых не было до их объединения; элемент
системы обладает свойствами, которые он теряет при отделении от
системы);
5. мультипликативность (эффекты функционирования элементов в
системе обладают свойством умножения);
6. взаимодействие и взаимозависимость системы и внешней среды;
7. структурность (возможность деления системы на части и установление
связей между ними);
8. иерархичность (каждая часть системы может рассматриваться как
подсистема более широкой системы); 4
 (продолжение)
9. непрерывность функционирования;
10. целенаправленность (система рассматривается относительно
некоторых целей);
11. адаптивность (система стремится к состоянию устойчивого
равновесия, которое предполагает адаптацию параметров системы к
изменяющимся параметрам внешней среды);
12. альтернативность путей функционирования и развития (в
зависимости от конкретных параметров, возникающих при
функционировании системы, существует несколько путей достижения
цели);
13. наследственность (передача наиболее сильных признаков на
определённом этапе развития системы от её старой версии к новой);
14. приоритет интересов системы более глобального уровня перед
интересами её частей или подсистем).

5
 Любая система имеет внутреннее и внешнее описание.

К внутреннему описанию относятся её внутренне состояние и

внутренний механизм преобразования входных данных в выходные. Это
описание даёт информацию о поведении системы, о соответствии или
несоответствии внутренней структуры системы её целям, элементам и её
ресурсам.

Внешнее описание включает внешние проявления системы и содержит

информацию о взаимоотношениями с другими системами, с их целями и
ресурсами.

6
Системный подход – это методологическое направление исследования
объекта как системы с разных сторон, комплексно, в совокупности
отношений и связей между его элементами.

Системный подход используется для раскрытия целостности объекта,

выявления разных типов связей и отношений внутри и вне исследуемого
объекта и объединения все этих сведений.
Его задача состоит в разработке методов исследования и
конструирования сложных развивающихся объектов, т.е. систем разных
типов и классов, опираясь при этом на изучение закономерностей
развития систем.

7
Системный анализ представляет собой совокупность методов и средств
исследования и построения сложных объектов, опираясь на
установленные нормы и правила создания и управления техническими,
экономическими и социальными системами.

Системный анализ нужен для установления структурных связей между

элементами исследуемой системы.

Системный анализ – один из важнейших методов в системном подходе,

это эффективное средство для решения сложных, недостаточно чётко
сформулированных проблем.
Такой анализ помогает уточнить проблемы, найти подходящий метод для
их решения, определить критерии их решения, детализировать цели.

8
 Основные цели системного подхода:
1. повышение синергетичности;
2. снижение эмерджентности;
3. обеспечение положительной мультипликативности в организации;
4. обеспечение устойчивости функционирования организации;
5. обеспечение адаптивности работы;
6. обеспечение совместимости работы различных подсистем
организации;
7. обеспечение эффективной работы обратной связи в организации
внутри подсистем и между подсистемами.
Этапы решения проблем при системном подходе:
1. изучение объекта (качественный анализ);
2. нахождение и формулирование проблемы;
3. математическая (количественная) постановка проблемы;
4. моделирование исследуемых объектов и процессов;
5. статистическая обработка результатов моделирования;
6. оценка и поиск альтернативных решений;
7. формулирование выводов и предложений по решению проблемы. 9
 Процесс (от лат. processus - “продвижение”) – это совокупность
взаимосвязанных или взаимодействующих видов деятельности,
преобразующая входы в выходы и требующая при этом определённых
ресурсов и управления.
Входами к процессу обычно являются выходы других процессов.

10
 Дадим ещё 2 определения процесса:

1. Процесс – это последовательная смена явлений, состояний в развитии

чего-то.
2. Процесс – это цепь логически связанных, повторяющихся действий, в
результате которых используются ресурсы организации с целью
достижений определённых результатов для удовлетворения тех или
иных потребителей.

Бизнес-процесс – множество из одной или нескольких упорядоченных во

времени, логически связанных и завершённых видов деятельности,
которые в совокупности поддерживают деятельность организации и
реализуют её политику, направленную на достижение поставленных
целей.
Все действия внутри организации можно рассматривать либо как
процесс, либо как его часть.
11
 1. Система (от греч. σύσ τημα – “составленный”) – совок упность взаимосвязанных и взаимодейст вующих элементов. Яяч

2. Дадим более детальное определение

Система – мно жество, состоящее из двух или б олее элементо в. Это мн ожество удовл етворяет следующим условиям:
- поведение каждого элемента влияет на поведение целого;
- по ведение каждого элемента и его влияние на целое в свою очер едь зависит от поведения другого элемента. Н и один элемент самостоятельно не влияет на систему в целом ;
- элементы системы соединены таким образом, что о бразование ими независимых подгрупп невозможно.

3. Дадим тр етье определение

Система – это множество (совокупность) элементов (объектов) любой природы, которые взаимодействуют между собой для достижения общей цели, причём это множество обладаетсистемным свойством (свойствами), которым не обладает ни один из элементов и ни одно из подмножеств этих элементов при любом спо собе членения.

жжжжжжжжжжж+++++++++++++

12
 Рассмотрим свойства системы:
1. целостность (первичность целого по отношению к элементам);
2. неаддитивность (принципиальная несводимость свойств системы к
сумме свойств составляющих её элементов);
3. синергетичность (однонаправленность действий элементов усиливает
эффективность её функционирования);
4. эмерджентность (появление новых свойств и качеств у множества
элементов системы, которых не было до их объединения; элемент
системы обладает свойствами, которые он теряет при отделении от
системы);
5. мультипликативность (эффекты функционирования элементов в
системе обладают свойством умножения);
6. взаимодействие и взаимозависимость системы и внешней среды;
7. структурность (возможность деления системы на части и установление
связей между ними);
8. иерархичность (каждая часть системы может рассматриваться как
подсистема более широкой системы); 13
 (продолжение)
9. непрерывность функционирования;
10. целенаправленность (система рассматривается относительно
некоторых целей);
11. адаптивность (система стремится к состоянию устойчивого
равновесия, которое предполагает адаптацию параметров системы к
изменяющимся параметрам внешней среды);
12. альтернативность путей функционирования и развития (в
зависимости от конкретных параметров, возникающих при
функционировании системы, существует несколько путей достижения
цели);
13. наследственность (передача наиболее сильных признаков на
определённом этапе развития системы от её старой версии к новой);
14. приоритет интересов системы более глобального уровня перед
интересами её частей или подсистем).

14
 Любая система имеет внутреннее и внешнее описание.

К внутреннему описанию относятся её внутренне состояние и

внутренний механизм преобразования входных данных в выходные. Это
описание даёт информацию о поведении системы, о соответствии или
несоответствии внутренней структуры системы её целям, элементам и её
ресурсам.

Внешнее описание включает внешние проявления системы и содержит

информацию о взаимоотношениями с другими системами, с их целями и
ресурсами.

15
Системный подход – это методологическое направление исследования
объекта как системы с разных сторон, комплексно, в совокупности
отношений и связей между его элементами.

Системный подход используется для раскрытия целостности объекта,

выявления разных типов связей и отношений внутри и вне исследуемого
объекта и объединения все этих сведений.
Его задача состоит в разработке методов исследования и
конструирования сложных развивающихся объектов, т.е. систем разных
типов и классов, опираясь при этом на изучение закономерностей
развития систем.

16
Системный анализ представляет собой совокупность методов и средств
исследования и построения сложных объектов, опираясь на
установленные нормы и правила создания и управления техническими,
экономическими и социальными системами.

Системный анализ нужен для установления структурных связей между

элементами исследуемой системы.

Системный анализ – один из важнейших методов в системном подходе,

это эффективное средство для решения сложных, недостаточно чётко
сформулированных проблем.
Такой анализ помогает уточнить проблемы, найти подходящий метод для
их решения, определить критерии их решения, детализировать цели.

17
 Основные цели системного подхода:
1. повышение синергетичности;
2. снижение эмерджентности;
3. обеспечение положительной мультипликативности в организации;
4. обеспечение устойчивости функционирования организации;
5. обеспечение адаптивности работы;
6. обеспечение совместимости работы различных подсистем
организации;
7. обеспечение эффективной работы обратной связи в организации
внутри подсистем и между подсистемами.
Этапы решения проблем при системном подходе:
1. изучение объекта (качественный анализ);
2. нахождение и формулирование проблемы;
3. математическая (количественная) постановка проблемы;
4. моделирование исследуемых объектов и процессов;
5. статистическая обработка результатов моделирования;
6. оценка и поиск альтернативных решений;
7. формулирование выводов и предложений по решению проблемы. 18
 Процесс (от лат. processus - “продвижение”) – это совокупность
взаимосвязанных или взаимодействующих видов деятельности,
преобразующая входы в выходы и требующая при этом определённых
ресурсов и управления.
Входами к процессу обычно являются выходы других процессов.

19
 Дадим ещё 2 определения процесса:

1. Процесс – это последовательная смена явлений, состояний в развитии

чего-то.
2. Процесс – это цепь логически связанных, повторяющихся действий, в
результате которых используются ресурсы организации с целью
достижений определённых результатов для удовлетворения тех или
иных потребителей.

Бизнес-процесс – множество из одной или нескольких упорядоченных во

времени, логически связанных и завершённых видов деятельности,
которые в совокупности поддерживают деятельность организации и
реализуют её политику, направленную на достижение поставленных
целей.
Все действия внутри организации можно рассматривать либо как
процесс, либо как его часть.
20
 Процессы организации можно разделить на 4 группы:

1. основные (процессы жизненного цикла), обеспечивающие

намеченный результат деятельности организации. Назначение процесса
– создание основных продуктов деятельности организации. Результат –
основной продукт и/или полуфабрикат для его изготовления для
промежуточных процессов;

2. вспомогательные. Назначение – обеспечение деятельности основных

процессов. Результат – ресурсы и сервисы для основных процессов;

3. процессы управления (менеджмента), относящиеся к стратегическому

планированию, постановке целей и т.д. Назначение – управление
деятельностью организации. Результат – деятельность всей организации;

4. процессы измерения, анализа и совершенствования. Назначение –

входные данные для процессов улучшения деятельности организации.
Результат – улучшение всей деятельности организации. 21
Процессный подход – систематическая идентификация и менеджмент
применяемых организаций бизнес-процессов и взаимодействия этих
процессов.

В основе этого подхода лежит взгляд на организацию как на

совокупность ключевых бизнес-процессов. Основное внимание
уделяется межфункциональным процессам, которые объединяют
отдельные функции в общие потоки и направлены на достижение
конечного результата бизнеса. Основное преимущество этого подхода в
управлении и контроле взаимодействия между разными процессами и
звеньями, которые связывают ступени организационно-штатной
структуры организации.

22
 Требования к реализации процессного подхода:

1. определение процессов, нужных для реализации;

2. определение входов и выходов каждого процесса для установления и
последовательности и взаимодействия процессов;
3. планирование и обеспечение ресурсами, которые нужны для
осуществления процессов и управления ими;
4. определения необходимой степени документированности и
документирование процессов;
5. осуществление планирования процессов;
6. наличие критериев и методов оценки осуществления и управления
процессами;
7. мониторинг, оценивание и анализ процессов;
8. коррекция и предупреждающая деятельность по результатам анализа
процессов;
9. определение методов и управление процессами, результаты которых
не проверяются последовательным мониторингом и измерением.
23
 Управление – осознанная целенаправленная деятельность, с помощью
которой человек упорядочивает и подчиняет своим интересам элементы
внешней среды (общества, живой и неживой природы, техники).
Это процесс, состоящий из серии непрерывных взаимосвязанных
действий (управленческих функций), каждое из которых является
процессом, нужным для достижения успеха организации.

С позиции системного подхода управление – осуществление

совокупности непрерывных взаимосвязанных воздействий на систему,
которой управляют, выбранных из множества возможных воздействий
на основании информации о поведении системы и состоянии внешней
среды для достижения поставленной цели.

Управление предполагает измерение выходных параметров системы,

сравнение результатов измерений с эталонами и дальнейшее
воздействие на вход системы для установления необходимого режима
работы.
24
 Система управления – система, в которой реализуются функции управления.
Субъект управления – основной элемент управляющей системы. Он осуществляет
управленческую деятельность . Объект управления – система, на которую
направлено управленческое воздействие. Система связи соединяет субъект и
объект управления. Метод управления – совокупность способов и приёмов
воздействия субъекта на объект управления. В зависимости от функций методы
управления делятся на 3 группы: управление функциональными подсистемами,
выполнение функций управления и принятие управленческих решений.

Два типа управления:

-иерархический: напоминает структуру управления с жёсткой вертикальной
системой управления с закреплёнными обязанностями каждого элемента
системы;
-органический: обладает горизонтальными связями управления, при которых
обязанности участников системы могут меняться.
Основные элементы в системе управления: уровни (ступени), звенья и
горизонтальные и вертикальные связи.
25
 Характерные отличительные черты современных систем управления:
1. принятие решений на основе установленных фактов, т.е. опираясь на
объективную информацию, полученную в результате измерения
параметров управляемых процессов;
2. прогнозирование развития ситуации и регулирование параметров
процессов с целью избежать недопустимый результат;
3. планирование цели процесса и реализация управления по
отклонениям от цели;
4. непрерывное улучшение процессов и самой системы управления
процессами, чтобы улучшить и результат процессов.

26
 Несколько определений термина “менеджмент”:
1. способ (манера) обращения с людьми, власть и искусство управления,
особые административные навыки, орган управления (Оксфордский
словарь английского языка);
2. совокупность принципов, форм, методов, приёмов и средств
управления производством и его персоналом, используя достижений
науки управления (Современный экономический словарь);
3. искусство управления интеллектуальными, финансовыми,
материальными ресурсами (Толковый словарь русского языка Ожегова);
4. эффективное и результативное достижение целей организации
посредством планирования, организации, лидерства и контроля над
организационными ресурсами (Менеджмент, Дафт Р.);
5. скоординированная деятельность по руководству и управлению
организацией;
6. объединение управленческой деятельности с кадровой политикой;
7. теория и практика научного и хозяйственного управления
организацией в условиях рынка.
27
 Для структурирования всех процессов управления и для обеспечения
учёта всех значимых элементов процессного подхода применяют
циклическую модель PDCA (Plan – Do – Check – Act). Применение цикла
позволяет эффективно управлять деятельностью на системной основе.
Цикл можно применять внутри каждого процесса любого уровня
организации, а также по отношению к системе процессов в целом.

28
 Системный подход к управлению организацией – это выявление,
понимание и административное управление системой взаимосвязанных
процессов с целью достижения заданной стратегической цели.

Системный подход:
-определяет систему путём выявления или разработки процессов,
влияющих на достижение цели;
-структурирует систему так, чтобы наиболее эффективно достичь цели;
-обеспечивает понимание взаимосвязей между процессами системы;
-обосновывает зависимость организации от переменных факторов
внешней и внутренней сред;
-проводит постоянное улучшение системы с помощью оценки и
измерений;
-обеспечивает понимание распределения ролей и ответственности при
достижений целей, устраняя межфункциональные барьеры и улучшая
коллективную работу.
29
Процессный подход к управлению, или процессное управление – такой
подход к управлению, который рассматривает это управление как
непрерывную серию взаимосвязанных функций управления.
Это планомерная деятельность по формированию целенаправленного
поведения организации посредством выделения, описания и
менеджмента системы процессов организации и их ресурсного
окружения. Это инструмент корпоративного управления, который
реализует стратегию организации.

Система управления, основанная на процессном подходе – это такая

система, в которой основным объектом управления является
бизнес-процесс.

Есть 3 основных показателя эффективности управления: затраты, расчёт

времени на это управление и показатели качества бизнес-процесса.

30
 Равносильные определения термина “безопасность информации”
(англ. information security):
1. это состояние защищённости информации, которая обрабатывается
средствами вычислительной техники или автоматизированной системы,
от внешний и внутренних угроз;
2. это состояние защищённости информации, при котором
обеспечивается её конфиденциальность, доступность и целостность.

Защита информации – это деятельность, направленная на

предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на
информацию.

31
 Понятие ИБ включает 4 основных свойства:
1. подлинность, идентичность происхождений, полномочий и т.д (англ.
authenticity);
2. подотчётность, т.е. однозначный контроль над всеми действиями
объектов, влияющих на ИБ (англ. accountability);
3. неоспоримость, т.е. причастность к совершению операций над
информацией (англ. non-repudiation);
4. надёжность, т.е. соответствие преднамеренному поведению и
результатам (англ. reliability).

ИБ организации – это состояние защищённости интересов (целей)

организации в условиях угроз ИБ (т.е. доступности, целостности,
конфиденциальности, аутентичности, подотчётности, неоспоримости и
надёжности) в информационной сфере.

32
 ОИБ – это процесс поддержания состояния защищённости активов
организации, осуществляемый постоянно и нуждающийся в управлении.
Рассмотрим этапы этого процесса:

Все эти этапы и элементы процесса составляют основу комплексной СОИБ

организации.
Спасибо за внимание!

34