LibCat » Книги » Прочее » Экономика » economics » Сергей Авдошин - Информатизация бизнеса. Управление рисками

Сергей Авдошин - Информатизация бизнеса. Управление рисками

Здесь есть возможность читать онлайн «Сергей Авдошин - Информатизация бизнеса. Управление рисками» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Город: Москва, Год выпуска: 2011, ISBN: 2011, Издательство: ДМК Пресс, Жанр: economics, management, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Информатизация бизнеса. Управление рисками
Автор:
Сергей Михайлович Авдошин
Издательство:
ДМК Пресс
Жанр:
economics / management / на русском языке
Год:
2011
Город:
Москва
ISBN:
978-5-94074-109-1
Рейтинг книги:
5 / 5. Голосов: 2
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Информатизация бизнеса. Управление рисками: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Информатизация бизнеса. Управление рисками»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Проблема управления рисками при информатизации бизнеса является одной из наиболее актуальных и значимых в ИТ-индустрии. В предлагаемом учебно-практическом пособии, затронуты как теоретические, так и практические вопросы управления рисками, раскрывается специфика механизма управления рисками при реализации проектов в области информационных технологий.
В основу учебного пособия положен многолетний опыт преподавания авторами дисциплины «Управление рисками» на отделении программной инженерии Высшей школы экономики.
Книга предназначена для студентов магистратуры, обучающихся по направлениям 080500.68 «Бизнес-информатика» и 231000.68 «Программная инженерия», а также для ИТ-специалистов, разработчиков и заказчиков программных продуктов, менеджеров ИТ-проектов.

Информатизация бизнеса. Управление рисками — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Информатизация бизнеса. Управление рисками», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Определений информационной безопасности множество. Согласно ГОСТу, защита информации (обеспечение информационной безопасности) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Многие определения охватывают аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности информации или средств ее обработки. Негативные воздействия, как правило, осуществляются с целью нарушения конфиденциальности, целостности и доступности информации, поэтому для достижения цели информационной безопасности необходимо обеспечить точность и полноту информационных активов, доступных и пригодных для использования только уполномоченными лицами (организацией, процессом) в соответствии с их требованиями.

Чем сложнее задача автоматизации и чем ответственнее область, в которой используются компьютерные информационные технологии, тем все более и более критичными становятся надежность и безопасность информационных ресурсов, задействованных в процессе сбора, накопления, обработки, передачи и хранения компьютерных данных. Целью информационной безопасности является предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее.

Существует целый ряд стандартов и подходов к обеспечению информационной безопасности компании и управлению информационными рисками. Наибольшую известность в мировой практике управления информационными рисками имеют такие международные спецификации и стандарты, как ISO 17799–2002 (BS 7799), CISA (Сертифицированный аудитор информационных систем), CISSP (Сертифицированный профессионал по обеспечению безопасности информационных систем), COSO, SAS 55/78, и некоторые другие, аналогичные им.

Основополагающими считаются стандарты международной организации по стандартизации серии ISO 27000, включающие шесть стандартов информационной безопасности. Фактически эти стандарты представляют собой технологию управления информационной безопасностью.

ISO/IEC 27001 представляет собой международный стандарт – «Система управления информационной безопасностью (СУИБ). Требования» – и позволяет организациям определять цели и процессы информационной безопасности, предпринимать шаги к увеличению эффективности.

Стандарт ISO/IEC 27002 представляет собой практическое руководство по созданию СУИБ, описывает механизмы контроля, необходимого для построения системы безопасности, определенные на основе лучших примеров мирового опыта в данной области.

Существует еще один международный стандарт ISO 15408, который был разработан на основе стандарта «Общие критерии безопасности информационных технологий» (рис. 22). В 2002 году этот стандарт был принят в России как ГОСТ Р ИСО/МЭК 15408–2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий», часто в литературе называемый «Общие критерии». Ранее в отечественных нормативных документах в области ИБ понятие риска не вводилось.

Стандарты носят исключительно концептуальный характер, что позволяет экспертам по информационной безопасности реализовать любые средства и технологии оценки, отработки и управления рисками. Однако отсутствие конкретных рекомендаций по выбору какого-либо аппарата оценки риска, а также синтезу мер, средств и сервисов безопасности, используемых для минимизации рисков, снижает полезность стандартов как технологических документов.

Рис. 22. Понятие безопасности в соответствии с ГОСТ Р ИСО/МЭК 15408–2002

Проблемы информационной безопасности особенно актуальны для ERP-систем, которые содержат финансовую информацию и данные о клиентах, кадровые данные, прочую информацию, необходимую для повседневной деятельности сотрудников. Очевидно, что многие из этих данных являются конфиденциальной информацией, и их раскрытие может принести предприятию значительные убытки. Чем больше бизнес зависит от ИТ, тем важнее стабильность работы информационных систем и безопасность данных для компании. Учитывая важность коммерческой информации для компаний и возможные проблемы в случае ее частичной потери или утечки, ИТ-безопасность представляется одной из ключевых задач для любого бизнеса.