Управление информационной безопасностью Структура организации. Роль и место служб ИТ и ИБ. Юрий Куприянов, ст.преподаватель каф. ИКТ Семинар кафедры ИКТ, 10 апреля 2009 г.

Что такое организация? Организация - это люди, собравшиеся с какой-то целью.

Пример организаций Кафедра ИКТ ОАО Газпром Сборная России по футболу Поход на байдарках по Карелии В.В.Пупкин и его приятели, собравшиеся попить пивка

Деятельность по достижению цели АВС-модель (Дуглас Энгельбарт) A Основная деятельность B Улучшение деятельности A C Улучшение деятельности B B – деятельность по «непрерывному совершенствованию» (в терминах TQM). Как делать A быстрее, дешевле, лучше. A – движение к цели, для достижения которых создана организация. Операционная деятельность. С – совершенствование работ по совершенствованию (B)– управление знаниями о том, как делать лучше.

Пример деятельностей A B C Сборная РФ по футболу A – футбольный матч B – тренировки, массаж, аренда тренировочных баз, разработка тактики и т.д. C – анализ игр, прогнозы, поиск талантливой молодежи и т.д.

Где информационные технологии? ИТ – это деятельность B и С. Сравнительно немного организаций осуществляют деятельность, которую невозможно вести без компьютеров. Поэтому ИТ – это «улучшательные» технологии.

Совершенствование – не только ИТ ИТ Управление персоналом (HR) Финансы Безопасность Логистика Реклама и PR Хозяйственные службы

Не отделы, а сервисы Все «симбионты» на уровне B друг для друга и для операционной деятельности являются: 1) Сервисами 2) Конкурентами за ресурсы

«Переплетение» vs «иерархия» «Переплетение» сервисов вместо иерархического подчинения. Кто чей начальник? Классические методы управления – это XIX век. Задача – распределить и проконтролировать средства производства.

Новая парадигма управления Процессный подход: Деятельность как совокупность процессов. Руководство процессами, а не людьми. Персональная ответственность за процесс.

Стандартизация процессов Хорошо выстроенный процесс дает предсказуемый и запланированный результат (ISO управление качеством). Процессный подход – во всех стандартах (качество, разработка ПО, поддержка, безопасность, охрана окружающей среды и т.д.)

Когда процессы описаны Можно внедрять любой стандарт: ISO 9001 ISO ISO ISO … Их легко автоматизировать.

Массив стандартов ИТ

Где информационная безопасность? Безопасность информации – причина развития Computer Science. Стандарты на безопасность: ISO ISO ISO ISO 13335

Понятие об информации Информация – главное новое слово XX века. Слово для обозначения двойственной природы объектов: подчеркивает разницу между информацией и носителем информации.

Безопасность информации Что защищается? Конфиденциальность Целостность Доступность Что для нас важнее из этой тройки? Что будем защищать? Информацию или её носители?

Ценность информации Ценность информации – её содержание. ИТ обычно не интересует содержание, а только формат и способ передачи.

Оценка риска Главный вопрос ИБ – оценка ценности информации для организации и оценка риска её утраты, искажения, разглашения или потери доступа к ней.

ИТ, ИБ и управление знаниями Информационные технологии Информационная безопасность Управление знаниями Область интереса: ценность информации исходя из содержания, уязвимость носителей, риски утраты информации или доступа, искажения, разглашения. Область интереса: структура информации, форматы хранения, передачи, алгоритмы обработки. Конкретное содержание неинтересно. Область интереса: смысл информации, повторное использование, извлечение информации из данных.

Управление знаниями Об этом много говорят, но мало знают. Есть 2 подхода: Психологи и HR IT-шники «Мы вам установим wiki, форум, CRM, фотогалерею, jabber, skype и полнотекстовый поиск по всему этому хозяйству – и знания никогда и никуда не пропадут!» «Мы проведем тренинги, семинары, корпоративные выезды на природу, создадим уникальную творческую среду, и знания останутся и приумножатся!»

Уникальность кафедры ИКТ Сети Обеспечение всего (без сетей –никуда!) IT-сервис менеджмент Организация и поддержка процессов. Метрики качества. Мультимедия Извлечение, фиксация и передача знаний.

Спасибо за внимание ВОПРОСЫ?