Иллюстрированный самоучитель по Development of safety


Интеграция информационной безопасности в бизнес-процесс организации - часть 2


Так работают в небольших организациях. Во многих из них, особенно в сторонних организациях, немногочисленный персонал делят на "отделы", в которых один человек назначается посредником со службой безопасности.

Тем не менее, это не лучшее решение. Некоторые люди, работающие в организации достаточно большой период времени, могут найти способы разобраться в тонкостях работы системы и злоупотребить этим в каких-то своих целях. Единственный способ предотвратить это заключается в том, чтобы не допускать пребывание сотрудника продолжительное время в роли посредника по безопасности, например, не более одного-двух лет. По завершению этого срока они передают свою работу кому-нибудь другому. Другой способ заключается в том, чтобы установить порядок проверок и учета. Система снабжения организации является одним из управляемых процессов. Даже несмотря на то, что большая часть закупок проходит этап утверждения руководством, часто такое утверждение проходит формально, и оплата проходит без последующих уведомлений. Зато посредник безопасности в бухгалтерии будет следить за нарушениями в порядке закупок и отгрузки заказов.

Один ревизор поделился впечатлениями о своей работе, которую все считают очень сложной. Мало кто способен выполнять эту работу. Ревизор должен знать все тонкости бизнеса, особенности клиентов и поставщиков, знать старые и новые правила делопроизводства, а также - денежные потоки организации. Только зная все это, ревизор сможет разобраться в счет-фактурах и заявках на закупки и определить, нет ли в них каких-то нарушений.

И последним аспектом, который следует учесть в процессе реализации программы защиты информации, является цикл развития программного обеспечения. Независимо от того, разрабатывалось ли программное обеспечение собственными силами или организацией-подрядчиком, или же были закуплены коммерческие программные продукты (COTS - Commercial Off-The-Shelf), целью должно быть создание безопасных систем, в которых можно бы было легко локализовать ошибки или попытки вторжения.Внедрение стандартов кодирования и тестирования также будет содействовать обеспечению качественных производственных процессов. Более того, использование такой парадигмы как живучесть, также может стать основой для проектирования программного обеспечения, с которым не будет проблем при развертывании или в процессе эксплуатации.




Начало  Назад  Вперед



Книжный магазин