Ключевые составляющие внедрения процессного подхода в обеспечение ИБ

 

Процессный подход это одна из концепций управления, которая окончательно сформировалась в 80-х годах прошлого века. В соответствии с этой концепцией вся деятельность организации рассматривается как набор процессов. Для того чтобы управлять, необходимо управлять процессами. 

Главное понятие, которое использует процессный подход – это понятие процесса. Существуют различные определения, но наиболее часто используется определение стандарта ISO 9001. «Процесс - это совокупность взаимосвязанных и взаимодействующих видов деятельности, которые преобразуют входы в выходы» [1]. Важной составляющей процесса, которая не отражена в этом определении, является систематичность действий. Действия процесса должны быть повторяющимися, а не случайными.

Информационная безопасность предприятия является одним из видов безопасности, которая обеспечивается с помощью организационно-технической подсистемы защиты информации [2, c. 812].

При внедрении процессного подхода основной упор делается на проработку механизмов взаимодействия в рамках процесса как между структурными единицами внутри компании, так и с внешней средой, т.е. с клиентами, поставщиками и партнерами. Именно процессный подход позволяет учесть такие важные аспекты бизнеса, как ориентация на конечный продукт, заинтересованность каждого исполнителя в повышении качества конечного продукта и, как следствие, заинтересованность в конечном выполнении своей работы.

При использовании процессного подхода в управлении информационной безопасностью компании необходимо разделять собственно сам процесс управления и процесс управления конкретным риском информационной безопасности. Зюзин А.С. включает в процесс управления информационной безопасностью компании следующие стадии: планирование, осуществление, проверка, действие. [3, c. 38] Рассмотрим соотношение стадий процесса управления информационной безопасностью и этапов процесс управления конкретным риском информационной безопасности:

1. Планирование:

Установление контекста;

Оценка риска;

Планирование обработки риска;

Принятие риска.

2. Осуществление: реализация плана обработки риска;

3. Проверка: проведение непрерывного мониторинга и переоценки рисков;

4. Действие: поддержка и усовершенствование процесса менеджмента риска ИБ.

Таким образом, работа над устранением каждого риска ИБ в итоге приводит к совершенствованию системы управления ИБ в целом.

Зюзин А.С. отмечает, что процедуры оценки риска и обработки риска в процессе менеджмента риска ИБ могут выполняться итеративно, такой подход при оценке риска как правило может увеличить детализацию и глубину оценки при каждой последующей итерации [3, c. 40]. Если для эффективного определения действий удается получить достаточную информацию на очередном шаге итерации, необходимую для снижения риска до требуемого уровня, то считается, что задача этапа выполнена, затем идет этап обработки риска. В случае недостаточности информации для принятия решения, пересматривается контекст и осуществляется очередная итерация оценки риска (критериев оценки, влияния или принятия рисков), возможно для некоторой отдельной части полной предметной области, которая ограниченна первой точкой принятия решения.

Выделим положительные изменения, которые происходят на предприятии после внедрения процессного подхода в управление ИБ.

Бизнес-процесс позволяет гораздо более эффективное разграничение полномочий персонала, а тaк же предполагает развитие эффективной системы делегирования полномочий. Процессный подход содержит в себе координацию действий разных подразделений в рамках процесса и ориентацию на его конечный результат. Обеспечивает стандартизацию требований к исполнителям, снижает нагрузки руководителей, сокращает издержки. Следовательно, помогает повысить результативность и эффективность paбoты, повышает саму управляемость в организации, влияние человеческого фактора так же снижается. И это не весь список плюсов использования процессного подхода, лишь только самые очевидные. 

В условиях современности проблема повышения эффективности управления становится все более актуальной, чего нельзя в полной мере добиться без реализации процессного подхода.

Необходимо выделить основные возможные проблемы при внедрении систем менеджмента, которые портят впечатление от всей идеи процессного подхода и приводят к тому, что часто организации после внедрения не замечают каких-либо существенных изменений:

• разработка формальных процессов управления без учета специфики компании и ее бизнес-процессов;

• отсутствие реального внедрения процессов управления, когда компании ограничиваются только разработкой документов, описывающих процессы;

• отсутствие вовлеченности персонала;

• непонимание руководством и персоналом идеи процессного подхода и нежелание участвовать в ее воплощении.

Таким образом, для эффективного использования процессного подхода в обеспечении ИБ необходимо, чтобы процесс был максимально настроен на индивидуальные особенности предприятия, происходило реальное внедрение процесса в работу компании, то есть необходимы не только документы по процессу, но и реальные действия, выполняемые сотрудниками.

Список литературы:

1. ГОСТ ISO 9001-2011. Системы менеджмента качества. Требования.

2. Дорожкин А.В., Ясенев В.Н. Информационная безопасность как инструмент обеспечения экономической безопасности хозяйствующего субъекта // Экономика и предпринимательство, № 5 (ч.1), 2015 г. С. 812–816.

3. Зюзин А.С. Управление информационной безопасностью на основе процессного подхода // Современная наука и инновации. - №1. – 2015г. С. 38–44.