Ш1Р ф элвис-плюс 4 страница

Сфера оценки может включать один или несколько процессов объекта оценки, например организатор может сосредоточить внима­ние на одном или нескольких критических процессах, нуждающихся в совершенствовании. Выбор объекта оценки должен отражать наме­ченное использование организатором выходных данных оценки. На­пример, если выходные данные предназначены для использования при совершенствовании процесса, то сфера оценки должна соответство­вать сфере намеченных работ по совершенствованию. Сфера оценки может быть любой: от отдельного проекта до всей организации. Во входных данных оценки должно быть представлено подробное опи­сание объекта оценки, включающее размеры объекта оценки, область применения продуктов или услуг объекта оценки, основные характе­ристики (например, объем, критичность, сложность и качество) про­дуктов или услуг объекта оценки.

К ограничениям оценки можно отнести: возможную недоступность основных активов, используемых в обычной деловой деятельности орга­низации; недостаточный временной интервал, выделенный для прове­дения оценивания; необходимость исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме того, могут быть наложены ограничения на количество и вид данных, которые должны быть собраны и изучены. Например, что опросам может быть подверг­нуто не более 10% персонала организации или что данные должны собираться только путем опросов, а не изучения документов и т.д.

К критериям компетентности специалиста по оценке относятся зна­ние процессов, навыки в сфере оценки процессов и применения ин­струментария для поддержки оценивания, личные качества. Необхо­димый уровень компетентности (необходимые знания, навыки и личные качества) достигается путем периодического обучения, базо­вого или дополнительного образования и участия в соответствующей профессиональной деятельности.

В члены группы оценки обычно входят и представители оценивае­мого объекта. Их участие в проведении оценивания дает возможность

определить и учесть особенности процессов, обеспечить достоверность результатов оценивания.

Во время выполнения оценки могут происходить изменения во входных данных оценки. Изменения должны быть одобрены органи­затором оценки или уполномоченным представителем объекта оцен­ки. Если эти изменения оказывают влияние на временной график и ресурсы проведения оценивания, то планирование оценки должно быть соответствующим образом пересмотрено.

2.3.3. Роли и обязанности по проведению

оценивания

Важным условием успешного проведения оценивания процессов яв­ляется определение ролей и обязанностей по проведению оценива­ния. К таким ролям относятся роль организатора оценки, роль руко­водителя группы оценивания и роль специалиста по оценке.

Организатор должен иметь обязанности и полномочия, чтобы удо­стовериться в предоставлении адекватных ресурсов и наличии адек­ватной компетентности участников оценивания для проведения соот­ветствующей оценки. Организатор должен обеспечить доступ группы оценивания к активам объекта оценки для изучения, к персоналу для проведения опросов, к инфраструктуре, необходимой во время оце­нивания. Хотя руководство объекта оценки напрямую не имеет ника­ких конкретных обязанностей по проведению оценивания, осознание важности оценки имеет очень большое значение. Это особенно акту­ально в том случае, когда организатор оценки не является членом руководства объекта оценки.

Руководитель группы оценивания отвечает за достижение целей оценки в результате проведения оценивания и за соответствие про­цесса оценивания требованиям установленного руководства по оцен­ке процесса. Руководитель группы должен распределить ответствен­ность между членами группы за оценивание конкретных процессов, подразделений, областей или видов деятельности объекта оценки. Такое распределение должно учитывать потребность в независимос­ти, компетентности специалистов по оценке и результативном исполь­зовании ресурсов. Для достижения целей оценки в процессе прове­дения оценивания могут быть сделаны изменения в распределении ответственности.

Специалисты по оценке осуществляют мероприятия, связанные с оценкой, например сбор данных, проверку достоверности данных и сообщение результатов. Оценивание атрибутов процессов выполняются исключительно руководителем группы оценки и специалистами по оценке, входящими в группу оценки. Другой персонал может участво­вать в работе группы оценки в качестве членов группы, обеспечиваю­щих специализированные знания или выполняющих канцелярскую работу. Они могут поддерживать специалистов по оценке в вопросе формулирования суждения/но не будут нести ответственность за окон­чательную оценку атрибутов процессов.

2.3,4. Модель оценки процесса

Модель оценки процесса предназначена для использования специа­листами по оценке и организаторами оценки и включает сферу моде­ли, показатели, отображение и преобразование модели оценки про­цесса, а также эталонную модель процессов объекта оценки.

Сфера модели оценки процесса может распространяться на под­множество процессов, определенных эталонной моделью процессов объекта оценки, а также охватывать дополнительные процессы, вы­ходящие за рамки процессов объекта оценки. Сфера модели может полностью соответствовать эталонной модели процессов объекта оценки.

Модель оценки процесса основывается на совокупности показате­лей, которые используются в качестве основы при сборе объективных данных для определения степени достижения атрибутов процессов, назначения и результатов процессов в рамках сферы модели оценки процесса. Показатели формализуют процесс оценки, дают возможность последовательно формировать суждения специалиста по оценке и улучшать воспроизводимость результатов. Показатели позволяют оце­нить степень реализации процессов объекта оценки. Модели оценки процесса в целом обеспечивают различные степени анализа процес­са на основе числа показателей оценки, предоставляемых моделью оценки процесса. Учитывая одинаковую сферу процесса, модель оцен­ки процесса с двадцатью показателями оценки будет считаться обес­печивающей более значительный анализ процесса, чем модель оцен­ки процесса с десятью показателями оценки. Конечно, такой анализ достается более высокой ценой с точки зрения усилий во время оценки

по выявлению данных, касающихся показателей оценки, а затем об­работки данных.

Модель оценки процесса должна позволять отображать атрибуты процессов объекта, оценки на выбранной шкале. Такой шкалой могут быть количественная шкала (например, абсолютная или шкала отно­шений), которая указывает степень реализации процесса или дости­жение заданного уровня атрибута процесса, или качественная шкала (например, порядковая), которая указывает на зрелость процесса.

Основными элементами эталонной модели процессов являются описания процессов в рамках сферы модели. Описания процессов в эталонной модели включают формулировку назначения процесса, ко­торая на высоком уровне описывает общие цели выполнения процес­са, результаты процессов, которые соответствуют успешному достиже­нию назначения процессов. Результат процесса — это видимый результат успешного выполнения процесса.

Показатели, отображая назначения, результаты и атрибуты процес­сов, формируют таким образом эталонные профили процессов.

2.3.5. Мероприятия процесса оценивания и выходные данные оценивания

Оценивание должно проводиться в соответствии с задокументированным процессом оценивания, который соответствует назначению оценки.

Одним из этапов процесса оценивания является планирование про­цесса, включающее определение необходимых входных данных, ме­роприятий, которые должны быть осуществлены при проведении оцен­ки, определение ресурсов и графика для этих мероприятий, персонификацию ролей для участников оценки, описание запланиро­ванных выходных данных оценки.

Ресурсы и график находятся в прямой зависимости от информа­ции, содержащейся во входных данных оценки, таких, как сфера и назначение оценки. Эта информация должна быть тщательно прове­рена перед планированием. Расписание и потребности в ресурсах могут меняться в ходе мероприятий оценивания. Тогда график и ре­сурсы мероприятий процесса оценивания будут корректироваться.

Сбор данных может осуществляться различными способами, напри­мер с помощью опросов, анкет, бесед и рассмотрения созданных про­дуктов. Перед началом сбора данных должно быть установлено соот­ветствие процессов объекта оценки процессам, определенным в мо­дели оценки процесса. Механизм выборки должен гарантировать, что совокупность выбранных процессов соответствует назначению оцен­ки. Касающаяся выборки информация и логическое обоснование со­храняются.

Сбор информации может быть организован как часть механизма мониторинга и составления отчетов. Альтернативным образом сбор информации может быть автоматическим или полуавтоматическим в результате поддержки какого-то инструментального средства. Инстру­ментальное средство может использоваться постоянно в течение жиз­ненного цикла, например в определенных контрольных точках для оценивания соблюдения процесса или его совершенствования.

Собранные данные должны быть точным представлением оценива­емых процессов. Проверка достоверности этих данных должна вклю­чать оценку того, является ли объем выборки достаточным для оцени­ваемых процессов.

В поддержку проверки достоверности данных используются сле­дующие механизмы:

— сравнение результатов с результатами предыдущих оценок для того же объекта оценки;

— поиск соответствий между связанными процессами;

— согласование и обсуждение данных с уполномоченными пред­ставителями объекта оценки.

Проверка достоверности данных может происходить и на этапе сбора данных, когда данные собираются и оцениваются. Если про­верка достоверности данных не может быть выполнена, это обстоя­тельство должно быть четко изложено в выходных данных оценки процесса вместе с анализом риска, связанного с потенциальным от­сутствием достоверности результатов.

Определение степени достижения атрибутов процессов с помощью показателей основывается на суждении специалиста по оценке и опи­рается на достоверные объективные данные. Это суждение должно принимать в расчет назначение оценки и контекст оценки. Совокуп­ность оцененных атрибутов процесса представляется как профиль процесса оцениваемого объекта оценки. Каждый атрибут процесса оценивается на основе достоверных объективных данных, собранных с помощью показателей оценки, предоставленных моделью оценки процесса.

При принятии решения об оценке каждого атрибута желательно достижение максимального согласия специалистов по оценке. Если согласие не является единодушным, должны устанавливаться правила для процесса принятия решения (например, консенсус, решение боль­шинством голосов и т.д.). Установленное правило должно быть за­фиксировано.

Профиль процесса должен быть представлен в форме (формах), позволяющей простую интерпретацию его смысла и значения. На этом этапе необходимо прослеживать связь между оценками атрибутов и использованными объективными данными. Это позволяет обосновать суждения специалиста по оценке и обеспечить основу для воспроиз­водимости результатов оценивания. Другими словами, проверка, про­водимая третьей стороной или при повторении оценивания, позволя­ет проследить все данные, связанные с оцениванием атрибутов и, вероятно, получить те же результаты оценивания.

Сообщение результатов оценивания может проходить неформаль­но (при внутренней оценке) или в форме подробного отчета (при независимой внешней оценке). Кроме того, для представления резуль­татов оценивания могут быть подготовлены и другие выводы и пред­лагаемые планы действий — в зависимости от назначения оценки и от проведения дополнительного анализа одновременно с оценкой. Результаты могут быть представлены в абсолютных выражениях или в относительных выражениях в сравнении с результатами предыдущих оценок, контрольными данными, в сравнении с деловыми потребнос­тями и т.д. Результаты оценки обычно используются в качестве осно­вы для разработки плана совершенствования или определения воз­можностей и соответствующих рисков.

Выходные данные оценивания предназначены для понимания ре­зультатов оценки и облегчения сравнения и проверки, проводимых третьей стороной. Зарегистрированные выходные данные оценки вклю­чают дату проведения оценивания, входные данные оценки, собран­ные объективные данные, описание используемого процесса оце­нивания, совокупность профилей процессов, полученных при оцени­вании. Зарегистрированные данные могут сохраняться в различной форме (бумажной или электронной) в зависимости от обстоятельств и инструментов, использованных для поддержки оценки.

На основе любого соглашения об обеспечении конфиденциально­сти или ограничений доступа, идентифицированных во входных дан-

2.3.6. Факторы успешной оценки процесса

Важными факторами для успешной оценки процесса являются:

• осознание и мотивация руководства организации;

• конфиденциальность;

• доверие.

Позиция руководства организации оказывает существенное влия­ние на исход оценки. Поэтому руководство организации должно по­буждать участников оценки к открытости и конструктивности. Оценка процесса сосредоточивается на процессах, а не на функционирова­нии членов объекта оценки, реализующих процесс. Смысл оценки со­стоит в том, чтобы сделать процессы более эффективными в достиже­нии деловых целей, а не в том, чтобы возложить вину на отдельных лиц.

Обеспечение обратной связи и поддержка атмосферы, поощряю­щей открытое обсуждение предварительных выводов во время оце­нивания, содействуют обеспечению того, чтобы выходные данные оцен­ки были значимыми для объекта оценки. Руководителям организации и персоналу объекта оценки необходимо осознавать, что участники оценки являются основным источником знаний и опыта, связанных с процессом, и что руководители и персонал имеют хорошую возмож­ность для идентификации потенциально слабых мест.

Уважение к конфиденциальности источников информации и доку­ментации, собранной во время оценивания, необходимо для обеспе­чения безопасности этой информации. В тех случаях, когда использу­ются опросы или обсуждения, следует обратить внимание на обеспечение того, чтобы их участники не ощущали угрозы или не ис­пытывали какого-либо беспокойства в отношении конфиденциально­сти. Некоторая часть из предоставленной информации может состав­лять собственность организации. Поэтому важно наличие адекватных средств контроля для обращения с такой информацией.

Организатор оценки, руководство и персонал объекта оценки дол­жны верить в то, что оценка принесет результат, являющийся объек­тивным и показательным для сферы оценки. Важно, чтобы все сторо-

ны могли быть уверены в том, что специалисты по оценке обладают адекватными знаниями и опытом проведения оценки, достаточно бес­пристрастны и у них есть адекватное понимание объекта оценки и его бизнеса для проведения оценки.

2.3.7. Внутренний и внешний аудит

Независимая оценка может быть осуществлена с помощью внутрен­него и внешнего аудита объекта оценки. Под аудитом понимается си­стематический, независимый и документируемый процесс получения свидетельств аудита и объективного их оценивания с целью установ­ления степени выполнения согласованных критериев аудита. Крите­риями аудита могут быть политики (например, политика бизнеса, ин­формационной безопасности), процессы (например, процессы менеджмента организации, информационной безопасности) и соответ­ствующие процедуры и требования.

Принципы проведения аудита [33] делают аудит результативным и надежным методом поддержания политики руководства и контроля, обеспечивая информацией, на основе которой организация может улучшать свои характеристики, а также являются предпосылкой для объективных заключений по результатам аудита.

К принципам проведения аудита относят:

а) этичность поведения — основа профессионализма.

Существенными при аудите являются ответственность, неподкуп­ность, умение хранить тайну и осмотрительность;

б) беспристрастность (fair presentation) — обязательство пред­ставлять правдивые и точные отчеты.

Выводы аудитов, заключения по результатам аудита и записи отра­жают правдиво и точно деятельность по аудиту. Неразрешенные про­блемы или разногласия между аудиторской группой и проверяемой организацией отражают в отчетах (актах);

в) профессиональная осмотрительность (due professional care) — прилежание и умение принимать правильные решения при про­ведении аудита.

Профессиональная осмотрительность аудиторов соответствует важ­ности выполняемого задания и доверительности со стороны заказчи­ков и других заинтересованных сторон. Важным фактором является необходимая компетентность;

г) независимость (independence) — основа беспристрастности и объективности заключений по результатам аудита.

Аудиторы независимы в своей деятельности и свободны от преду­беждений и конфликтов интересов. Аудиторы сохраняют объективное мнение во время всего процесса аудита с целью обеспечения того, что в основе выводов и заключений находятся только свидетельства аудита;

д) подход, основанный на свидетельстве (evidence-based approach), — разумная основа для достижения надежных и вос­производимых заключений аудита в процессе систематическо­го аудита.

Свидетельство аудита основано на выборках существующей инфор­мации, поскольку аудит осуществляется в ограниченный период вре­мени и с ограниченными ресурсами. Соответствующее использование выборок тесно связано с доверием, с которым относятся к заключе­ниям по результатам аудита.

Под свидетельствами аудита понимаются записи, изложение фак­тов или другая информация, которые имеют отношение к критериям аудита и могут быть проверены.

)6зор моделей безопасности бизнеса

>водная информация о моделях >езопасности бизнеса

аналитический материал IBM

/. Введение

Эффективная и действенная система безопасности является неотъемлемой частью бизнеса, предлагающего своим клиентам продукты и услуги. Организациям требуется обеспечить безопас­ность бизнес-операций и каналов, по которым осуществляется вза­имодействие с заказчиками и партнерами.

Любой бизнес неизбежно сопряжен с рисками. Собственные риски присутствуют и в бизнес-операциях организации, и в про­цессе ее взаимодействия с заказчиками и партнерами. Выявление и понимание взаимосвязей между этими рисками и решениями для обеспечения безопасности являются ключевой предпосылкой для построения эффективной системы безопасности, позволяющей ней­трализовать эти риски. Модели безопасности бизнеса предлагают мощную методологию для выявления и понимания этих взаимосвя­зей, помогающую увеличить отдачу от инвестиций в решения для обеспечения безопасности.

Этот раздел содержит вводную информацию о моделях безо­пасности бизнеса. Он рассчитан на директоров по ИТ, руководи­телей служб безопасности, а также любых других сотрудников орга­низации, ведающих вопросами информационных технологий и безопасности.

Данный раздел начинается с обсуждения рисков и безопасно­сти с точки зрения бизнеса. Затем предлагается логическое обо­снование потребности в использовании моделей безопасности бизнеса. Обсуждается концепция, и вниманию читателей предла­гаются пять конкретных моделей безопасности бизнеса. В после­дующих разделах дается обзор каждой модели, после чего при­водится пример сценария, использующего все модели. Затем модели рассматриваются на фоне набора общих атрибутов, ко­торые, в свою очередь, используются для дальнейшей дифферен­циации каждой модели с точки зрения решения для управления рисками и обеспечения безопасности. В заключение рассматри­ваются вопросы о том, как модели и значения их атрибутов мож­но использовать для выявления конкретных бизнес-рисков, необ­ходимых решений для обеспечения безопасности, а также как модели помогают составить эффективный план действий, прино­сящий пользу бизнесу.

II. Логическое обоснование

Цель существования организаций заключается в создании ценнос­тей, выраженных в виде продуктов и услуг. Создание ценностей требует применения физических, логических и конфиденциальных ограничений к пользователям, процессам и ресурсам. Необходи­мо найти экономичный способ обеспечения безопасности этих гра­ниц. Сделать это, однако, совсем непросто. Учитывая тот факт, что в большинстве компаний сегодня уже присутствует значительное количество пользователей, процессов и ресурсов, реальные шан­сы использовать подход типа «чистый лист бумаги» крайне малы, т.е. реализация плана безопасности может негативно сказаться на существующих операциях. Неудивительно, что в течение десятиле­тий организации пытались найти ответ на вопрос «Как использо­вать нужные ресурсы в сфере безопасности для управления биз­нес-рисками?». В последнее время благодаря возросшему вниманию к вопросам безопасности со стороны правительствен­ных структур и органов стандартизации, благодаря более жесткой регламентации вопросов безопасности в торговых соглашениях и нормативных документах определение рисков и экономически эф­фективное управление ими стали важнейшей заботой руководите­лей многих центров данных.

Безопасность нельзя свести к какому-то определенному продук­ту или сервису. Это условие, которое должно стать составной час­тью процесса создания ценностей. Безопасность охватывает целый ряд вопросов. Ее можно рассматривать как физическую безопас­ность (охранники, пистолеты, нагрудные значки}, совокупность про­дуктов для обеспечения информационной безопасности (межсете­вые экраны, системы обнаружения вторжений и инструменты управления безопасностью), как элемент управляемых сервисов бе­зопасности или просто как встроенные атрибуты продуктов, таких, как операционные системы или репозитории данных.

Безопасность никогда не бывает абсолютной. Не бывает полной безопасности или полной свободы от сомнений или страха — людям и организациям всегда приходится иметь дело с рисками. Некоторые риски можно устранить полностью, другие — уменьшить, а часть — принять. Всегда необходимо помнить о том, что любую систему бе­зопасности можно взломать. Организация может считаться «безо­пасной», когда она осознает существующие риски и способна уп­равлять ими таким образом, что затраты, направленные на снижение рисков, становятся соразмерными ожидаемой пользе для бизнеса. Как провайдеру сервисов ИТ, вам придется найти разумный баланс между затратами на обеспечение безопасности и преимуществами, которые безопасность обещает вашему бизнесу.

///. Понимание рисков

В данном разделе под риском понимается вероятность того, что произойдет нечто негативное или нежелательное. Под бизнес-рис­ком понимается вероятность того, что нечто нежелательное случится с вашей компанией, ее заказчиками или организацией, от которой зависит ваш бизнес. Обычно большинство бизнес-рисков можно измерить в количественном выражении с использованием таких эко­номических терминов, как упущенная прибыль, заработная плата или ущерб, нанесенный торговой марке. Снижение вероятности уменьшения ценности, производимой бизнесом, и уменьшение не­гативных последствий или экономических потерь, связанных с опре­деленным инцидентом, могут привести к снижению бизнес-рисков. Ниже будут рассмотрены различные типы рисков и способы, с по­мощью которых компании могут управлять ими.

Риски для организаций

Риск для активов — кража, разрушение или порча бизнес- активов. Отказ в законном доступе к бизнес-активам.

Компенсировать — компания может возместить затраты, связанные с риском, путем договоренностей со сторонними специалистами.

Риск ложной идентификации — работа под видом законных пользователей.

Риск владения чужими ресурсами — неспособность защитить ресурсы, принадлежащие третьим сторонам, включая персональные сведения о физических лицах.

Инфраструктурный риск — подрыв работы бизнес-систем; обход защитных мер.

Риск несоответствия — подверженность риску несоблюдения установленных законом норм, регламентирующих правила обеспечения безопасности и конфиденциальности.

Опции управления рисками

Передать — кампония может передать риски другим сторонам.

Нейтрализовать — компания может нейтрализовать риск либо путем снижения вероятности возникновения нежелательного события, либо путем уменьшения негативного эффекта, являющегося результатом события.

Обойти — компания может намеренно избегать тех видов деятельности, которые сопряжены с определенными типами рисков.

Принять — компания может просто смириться с негативными последствиями рисков.

Для каждого типа рисков существуют несколько опций управле­ния рисками. Сложная природа рисков, многочисленные опции уп­равления рисками и разнообразные потребности бизнеса свиде­тельствуют о необходимости целостной, согласованной методологии обеспечения безопасности. Модели безопасности бизнеса пред­лагают методологию обеспечения безопасности, которую можно использовать для создания решений в сфере безопасности, позво­ляющих эффективно и с минимальными затратами нейтрализовать различные риски. Последующие страницы этого раздела будут посвящены определению и рассмотрению моделей безопасности бизнеса.

IV. Модели безопасности

В ходе масштабных фундаментальных исследований и продолжи­тельного сотрудничества с организациями, работающими в сфе­ре финансовых услуг, государственном секторе, производстве, здравоохранении, транспортной сфере, розничной торговле и других отраслях, компания IBM выявила целый ряд моделей безо­пасности бизнеса. В начале 2003 г. специалисты IBM провели ряд интервью с сотрудниками крупных, средних и малых организаций, работающих в общественных, частных, регулируемых и нерегули­руемых секторах.

Эти интервью помогли объединить идеи, родившиеся в ходе академических и практических исследований и сотрудничества с бизнес-структурами (в том числе с огромной внутренней инфра­структурой IBM), и выработать общую стратегию совершенство­вания безопасности в сфере ИТ. В ходе интервью обязательно возникали некоторые общие темы независимо от того, на боль­шом или малом предприятии и в какой именно отрасли работал интервьюируемый. Практически все организации стремились най­ти способы эффективной организации пользователей, ресурсов и процессов, позволяющие создать безопасную и одновремен­но экономичную среду. В процессе этих дискуссий IBM выявила наличие ряда повторяющихся бизнес-потребностей, касающих­ся применения ограничений, нейтрализации рисков и техноло­гий обеспечения безопасности. Эти потребности можно связать

с набором бизнес-атрибутов, которые присутствуют в каждой организации.

Модели безопасности бизнеса служат для идентификации и по­нимания взаимосвязей между бизнес-целями, бизнес-рисками и ре­шениями для обеспечения безопасности. Существуют пять основ­ных моделей безопасности бизнеса:

• «Присутствие в Web»;

• «Бизнес—потребитель»;

• «Бизнес—бизнес»;

««Операционная безопасность»;

• «Высокий уровень контроля».

Ценность моделей проистекает из определения соответствия между бизнес-параметрами и параметрами рисков, с одной сто­роны, и организационными структурами — с другой. Такое соот­ветствие позволяет получить шаблон для эффективной реализа­ции системы безопасности. Анализируя состояние вашей организации с использованием моделей безопасности бизнеса, вы можете создать повторяемую методологию, которая позволит вам построить адекватную и экономичную систему безопасности для вашей компании. Каждая модель безопасности бизнеса исполь­зуется для описания определенного аспекта бизнес-процесса, с которым связан некоторый уровень риска. Сочетая различные модели безопасности, вы можете создать решение в сфере безо­пасности, позволяющее удовлетворить целый ряд потребностей бизнеса.

На рисунке представлена репрезентативная инфраструктура заказчика, которая обычно включает в себя как унаследован­ные, так и появляющиеся новые бизнес-системы. Комплексная ар­хитектура и сложные взаимосвязи, присущие такой инфраструк­туре, могут привести к появлению неидентифицированных рисков в сфере безопасности. Очень важно уметь выделить из этой сложной инфраструктуры конечный ряд сфер применения в биз­несе, идентифицирующих различные аспекты безопасности в духе «кто, что, когда, как, почему и когда». Наложение моделей безо­пасности бизнеса на топологическое представление бизнес-систем предлагает мощную модель комплексной организации точек при­нятия решений в сфере безопасности, ценностей и движущих сил бизнеса.

> <

£J

X в

О

ТІ >

JZ

s о X X

о

СП m Ш О

ZI >

Partners

Suppliers

Assel Risk, Custodia! Risk, Infrastructure Risk

1 о о

Репрезентативная инфраструктура заказчика

«Присутствие в Web»

Мы предлагаем начать с простейшей модели — «Присутствие в Web» (Web Presence). Как правило, это информационный портал на основе Интернета, и, если рассматривать его в качестве одно­го из аспектов бизнеса, «Присутствие в Web» представляет собой распространение обращенной к заказчикам, не ориентированной на транзакции бизнес-информации. Цель — предоставление пользо­вателям доступа через Интернет к публичной информации о биз­несе. Ключевой операционной характеристикой этой модели явля­ется публичность совместно используемой информации и ценность информации, проистекающая из ее доступности и способов рас­пространения.