Международные стандарты и управление рисками в IT-технологиях

       или электронных данных.

     Британский  стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В 2000 году международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799. Можно сказать, что BS 7799 и ISO 17799 это один и тот же стандарт, имеющий на сегодняшний день мировое признание.

     В Украине также существуют планы  принятия данного стандарта в  качестве государственного — эту  позицию озвучил представитель Службы Безопасности Украины, выступавший в 2002 году в Киеве на одном из семинаров компании Digital Security.

     В России стандарт ISO 17799 пока не имеет  статус государственного. Однако можно  ждать изменения в скором будущем  подобной ситуации. Государственная Техническая Комиссия при Президенте РФ уже отказалась от использования собственных стандартов защищенности автоматизированных систем и принимает ГОСТ 15408 (ISO 15408). Возможно, что то же самое в ближайшие годы произойдет и с ISO 17799 и нам следует готовиться к появлению в России ГОСТа 17799.

     Преимущества, получаемые компанией после прохождения  сертификации по ISO 17799

     Какие преимущества получает компания, которая  провела аудит безопасности своих  информационных ресурсов и получила сертификат соответствия системы управления информационной безопасности по стандарту ISO 17799?

     Прежде  всего, после проведения аудита информационная система компании становится «прозрачнее» для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и по устранению недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для соответствия стандарту.

     Сертификация  на соответствие стандарту ISO 17799 (BS 7799) позволяет наглядно показать деловым  партнерам, инвесторам и клиентам, что  в компании налажено эффективное управление информационной безопасностью. Это обеспечивает компании дополнительное конкурентное преимущество.

     Кроме того, говоря о сертификации по ISO 17799, стоит принять во внимание согласованную  с ВТО процедуру принятия России в данную организацию. Эта процедура потребует адекватной реакции от наиболее значимых в экономике России структур и адаптации стратегии развития в области информационных технологий с учетом международных стандартов безопасности, таких как ISO 17799.

     Практика  прохождения аудита и получения сертификата ISO 17799

     Для получения сертификата соответствия ISO 17799 компания должна пройти процедуру  аудита информационной безопасности, провести подготовку информационной системы  на соответствие требованиям стандарта, внедрить изменения и провести окончательную проверку соответствия стандарту. Данную работу целесообразно разбить на несколько этапов.

     Предварительный этап заключается в проведении аудита, на основании которого производится подготовка необходимых изменений  системы управления информационной безопасностью. Его может выполнить специализированная компания, имеющая опыт в проведение подобных работ.

     Затем, после подготовки комплекта необходимых  документов и внесения изменений  в систему, необходимо провести итоговую проверку соответствия стандарту ISO 17799, для чего требуется участие специалистов одной из консалтинговых компаний, которые владеют эксклюзивным правом выдачи данного сертификата и имеют аккредитацию при United Kingdom Accreditation Service (UKAS), уполномоченном государственном органе Великобритании. Также, отметим, что в настоящее время до выхода 2-ой части ISO 17799 — требования к аудиторам, которая намечена на 2004 год, официальная сертификация возможно только по BS 7799. Однако между ISO и UKAS существует соглашение, согласно которому после принятия второй части ISO 17799 все сертификаты BS 7799 автоматически получат статус ISO 17799. 
 
 
 
 
 
 
 

Глава.3. IT-риски в деятельности предприятия

     Основные  способы уменьшения риска: привлечение  к разработке проекта компетентных партнеров, компаньонов и консультантов; глубокая предпроектная проработка сопутствующих проблем; прогнозирование тенденций развития рыночной конъектуры, спроса на данную продукцию или услуги; распределение риска между участниками проекта, его соисполнителями; резервирование средств на покрытие непредвиденных расходов.

     При принятии решений, сопряженных с  риском, предприниматель должен учитывать  объективные и субъективные факторы. Лицо, принимающее решение, связанное  с риском, должно обладать оригинальность мышления, агрессивностью, самостоятельностью и т.п. большинство психологов считают, что склонность или несклонность к риску не является свойствами личности. Отношение к риску определяется главным образом внешними условиями или некоторыми индивидуальными и психологическими особенностями человека, например агрессивностью или уровнем чувства тревоги, стрессом. Вместе с этим психологические исследования показывают, что большинство других черт личности, например эгоизм, конформизм и т.д., не влияют на принятие решений, связанных с риском.

     При принятии решений, сопряженных с  риском, одни предприниматели, способные  выдвигать несколько альтернативных решений, обычно обладают верой в  собственные силы, большой стойкостью к стрессу, установкой на внешнее  окружение (экстравертностью); другие обладают противоположными качествами: неуверенностью в себе, невысокой стойкостью к стрессу, инстровертностью (установка на внутренние мотивы), что не способствует выработке нескольких альтернативных решений.

     Чтобы организовать в современных условиях доходное дело, предприниматель должен иметь хорошую профессиональную подготовку, а также необходимые знания в области экономики, политики, психологии, юриспруденции, организации производства и уметь сотрудничать с учеными, специалистами по маркетингу, владельцами капитала. За рубежом специалистов, владеющих такими качествами, считают цветом нации, деловым потенциалом страны.

     При принятии решений могут возникать  информационные перегрузки, тогда принятию решения в нужные сроки могут помешать насыщенный поток сведений об окружающей обстановке или нехватка информации (типичная ситуация для принятия решений, связанная с риском получения требуемых результатов). Информационные перегрузки блокируют работу по принятию решений, усложняют её.

     Предельные  случаи решений, сопряженных с риском, – перестраховка и авантюризм. При перестраховке риск сводится к нулю, авантюризм приводит к максимально  возможному риску. Перестраховка может  привести к заниженному эффекту, авантюризм – к неполучению запланированного результата, вызванному чрезмерным риском. Необходим оптимальный риск, обоснованный расчетом. Следует использовать преимущества научного прогнозирования. Обоснованный риск почти всегда полезен. Он повышает эффективность предпринимательской деятельности.

     Решение – основа управления, выбор способа  действий из нескольких возможных. Под  оптимальным решением следует понимать такое, которое находится между  хорошим и наилучшим. Оно должно соответствовать условиям производства, быть пригодным и приемлемым для работы, а также обеспечивать малую степень риска и достижение проектных результатов.

     Предприниматель может предупредить или существенно  сократить риск, заключая договоры лизинга, продажи товаров, на оказание услуг, на перевозку и хранение продукции. В условиях лизинга существенная часть риска порчи имущества или его гибели может быть возложена на арендатора путем особых оговорок в договоре лизинга. При заключении договоров продажи товаров или оказания услуг преимущество переходит покупателю или посреднику в покупке, которые предусматривают в договорах ответственность производителя за устранение дефектов в ходе эксплуатации продукции или замену недоброкачественного товара. Таким образом, риск возлагается на производителя.

     При перевозке или хранении грузов возникает обоюдный риск сторон, заключающих договор. Падение цен в период перевозки или хранения продукции и связанные с этим потери во время хранения или перевозки продукции возлагаются на транспортные или другие организации, осуществляющие это хранение или перевозку.

     Принятие  правильного решения – залог  успеха деятельности предпринимателя, так как оно значительно снижает  степень риска и позволяет  получить высокий конечный результат. Принятие управленческих решений должно подчиняться правилам, среди которых основные сформулированы американским социологом М. Рубинштейном:

     прежде  чем вникать в детали, постарайтесь получить представление о проблеме в целом;

     не  принимайте решения, пока не рассмотрите  возможные варианты;

     сомневайтесь; даже общепринятые истины должны вызывать недоверие, не бойтесь опровергать  их;

     старайтесь  взглянуть на стоящую перед вами проблему с самых разных точек зрения, даже если шансы на успех кажутся минимальными;

     ищите модель или аналогию, которая поможет  вам лучше понять сущность решаемой проблемы. Используйте диаграммы  и схемы. Они позволяют охватить сложную и обширную проблему буквально одним взглядом;

     задавайте как можно больше вопросов себе и  партнерам. Правильно заданный вопрос может иногда радикально изменить содержание ответа;

     не  удовлетворяйтесь первым решением, которое  придет в голову. Постарайтесь найти его слабые места. Попробуйте найти другие решения проблемы и сравните их с первым;

     перед принятием окончательного решения  поговорите с кем – нибудь о  своих проблемах;

     не  пренебрегайте своей интуицией. Ведущая роль логического мышления в анализе проблем не подлежит сомнению, но нельзя преуменьшать и значение интуиции;

     помните, что каждый человек смотрит на жизнь и возникающие постоянно  проблемы со своей, особенно точки зрения.

     3.1. Комплексные и  гипертехнологии  созданные для  управления рисками

     Появление комплексных технологий или гипертехнологий, в которых согласованность реализации относится ко всему решению, уже можно наблюдать в современной ИВТС.

     Так, например, в области телекоммуникационных систем мы наблюдаем появление таких  комплексных технологий, как мультисервисные сети, сети мобильной связи третьего поколения и т.д.

     В области информационных и информационно-управляющих  систем зарождение гипертехнологий (ГИТ) относится к интеграции приложений, интеграции данных, интеграции систем, что проявляется в решениях, используемых в электронной коммерции, электронных правительствах, системах автоматизации управленческой деятельности и  т.д.

     Для вычислительных систем это относится  к созданию многопроцессорных вычислительных комплексов с параллельными вычислениями, grid-структурам и т.д.

     Учитывая  следующие факторы, а именно: наличие  всего одного - двух разработчиков  и производителей комплексной (гипер)технологии, а также высокие сроки и  сложность процедуры принятия международных  стандартов, можно сделать вывод о том, что существующие процедуры принятия международных и национальных стандартов становятся  неэффективными в условиях использования ГИТ.

     Действительно, долгое время в России структура  применяемых стандартов была достаточно сложной: стандарты государственные, стандарты отраслевые, стандарты предприятий. С выходом на международный рынок важную роль стали играть международные стандарты, а также стандарты и спецификации международных консорциумов.

     Процедура принятия как национального, так  и международного стандарта является длительной и сложной, занимает 5-7 лет.

     3.2.Процедуры принятия стандарта

     Длительность  процедуры принятия стандарта противоречит реалиям жизненного цикла современных  ИТ. Уже сейчас можно наблюдать  ситуацию, при которой за 3-4 года технология не только меняется на более совершенную, но и меняет свое содержание существенным образом.

     С другой стороны, стоимость разработки стандартов вообще, функциональных - в  частности, а стандартов для ГИТ - в особенности, становится дорогостоящим  и трудоемким делом. При этом, разрабатываемый национальный стандарт не должен противоречить существующим и потенциальным международным стандартам.

     Видится следующий путь совершенствования  процесса стандартизации в мировом  масштабе:

     - необходимо оставить два уровня стандартизации: международную и корпоративную (консорциумную);