Letyshops
Главная

Защита информационных технологий. Новая специальность

Все выпуски
Архив форумов
Разделы
Брюс Нирон
Окончание.
В кратком изложении
План работы и анкеты / Контрольная среда и оценка риска | Физические и эксплуатационные средства контроля | Устранение аварийных ситуаций / Кадровые вопросы | Расставим точки над i / Спрос на услуги

Специалист не должен браться за проект по защите ИТ без письменного плана. Пример простого плана работы и анкет можно найти на www.auditnet.org. Используя эти инструменты в сочетании со структурой Комитета спонсорских организаций (Committee of Sponsoring Organizations - COSO) и COBIT, специалист может приспособить план работы к конкретному контракту.

Контрольная среда. Контрольная среда, согласно COSO, "задает тон в организации, влияет на понимание контроля людьми. Она служит основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру".

Специалист должен оценить следующие факторы:

  • честность и уровень этики администрации и руководства отдела ИТ;
  • стимулы и соблазны;
  • управленческие методы в обучении этическим принципам;
  • философию управления, стиль работы и стремление к повышению компетентности;
  • степень участия Совета или оргкомитета ИТ;
  • распределение власти и ответственности;
  • кадровую политику и ее реализацию.

Результат оценки контрольной среды будет иметь значение для последующих этапов проекта.

Оценка риска. Руководство должно оценить степень рискованности проекта. Многие организации не формулируют цели защиты ИТ и не доводят их до работников, а это - одно из условий оценки риска. Администрация может не понимать, что ее цели расходятся с целями отдела ИТ, до тех пор, пока проблемы, связанные с безопасностью информации, не станут угрожать нормальной работе, доходности или репутации предприятия.

COSO утверждает, что некоторые обстоятельства требуют особого внимания при оценке риска:

  • динамичная рабочая среда. Развитие Интернета и необходимость интегрировать e-бизнес и e-коммерцию вызывают радикальные перемены;
  • новые кадры. Руководители поколения ПК в большей степени готовы рисковать и жертвовать контролем. Для них эффект важнее безопасности в погоне за местом на рынке;
  • новые и обновленные информационные системы. Переход с управляемых ЭВМ на менее управляемые LAN и WAN и быстрое развитие сетей приводит к системным изменениям;
  • ускоренное старение. Жизненный цикл традиционного аппаратного и программного обеспечения раньше измерялся десятилетиями - платформы Wintel устаревают за полгода.

Если руководство не определилось с целями компании по безопасности ИТ или не оценило риск, будет трудно наметить контрольные меры.

[1][2][3][4] следующая>>
[вид для печати]
© CPA

 

 

Реклама: