Технологические решения по обеспечению соответствия нормативным требованиям
Ниже рассматриваются категории технологических решений, касающиеся соблюдения нормативных требований. До настоящего момента в центре внимания находился вопрос, как нормативные акты обусловливают потребность в конкретных элементах управления ИТ. Теперь основное внимание будет уделено технологическим решениям, с помощью которых эти потребности можно удовлетворить.
Рабочая группа создала список технологических решений и их категорий, а также провела их проверку в соответствии со стандартом ISO 17799, рекомендациями Национального института стандартов и технологий (NIST SP800) и другими платформами. В результате были выделены 19 категорий технологических решений, перечисленных ниже:
управление проверкой подлинности, авторизацией и доступом;
обучение;
физическая защита;
выявление уязвимостей;
мониторинг и отчетность;
восстановление после сбоев и переход на другой ресурс;
управление обработкой особых ситуаций и отслеживание неполадок.
Управление документами
Решения по управлению документами совмещают программное обеспечение и процессы, позволяющие управлять неструктурированными данными в организации. Эти данные могут существовать в различных цифровых форматах, включая документы, технические чертежи, XML-файлы, изображения, аудио- и видеофайлы.
Управление документами нацелено на решение двух задач соответствия нормативным требованиям:
обеспечение информирования обо всех изложенных в документах политиках, стандартах, процедурах и требованиях;
обеспечение контроля за неструктурированными данными.
Обе эти проблемы фигурируют в планах большинства аудиторских проверок соответствия нормативным требованиям. Решения по управлению документами могут быть как очень простыми, так и крайне сложными. Однако, поскольку элементы управления всех категорий требуют документации какого-либо рода, всем им необходимо то или иное решение по управлению документами.
Управление бизнес-процессами
Приложения по управлению бизнес-процессами позволяют обеспечить сквозную прозрачность и управление всеми сегментами сложных многошаговых запросов данных или транзакций, в которых задействованы различные приложения и различные пользователи в одной или нескольких организациях.
С точки зрения соответствия нормативным требованиям, управление бизнес-процессами позволяет обеспечить защиту транзакций, надежное обслуживание и доступность, а также совершенствование уровней обслуживания. В более широком плане управление бизнес-процессами представляет собой решение для обмена сообщениями, благодаря которому все вовлеченные участники поддерживают между собой связь и могут отслеживать положение дел независимо от того, где они находятся физически. Это решение чаще всего используется в крупных компаниях, на которые распространяются требования закона Сарбейнса-Оксли.
Управление проектами
Решения по управлению проектами позволяют использовать знания, навыки, средства и методики в отношении широкого спектра возможностей для удовлетворения требований того или иного проекта. Знания и действия в рамках управления проектами лучше всего описать, используя ряд компонентов процесса его создания. Такой процесс можно разделить на пять групп: формирование замысла, планирование, разработка, стабилизация и ввод в действие.
Решения по управлению проектами используются компаниями с целью реализации проектов, обеспечения их надежного функционирования, а также соответствия нормативным требованиям. Решения по управлению проектами обеспечивают руководителей и других участников проектов дополнительными возможностями для контроля и осуществления обратной связи. Эти решения способны сократить прямые затраты, повысить уровень контроля за осуществлением проектов и эффективность всех аспектов соответствия нормативным требованиям.
Оценка рисков
Понятие оценка рисков имеет несколько значений. Специалисты по информационной безопасности определяют его как системный метод выявления ценных свойств системы обработки данных, угроз этим свойствам и уязвимости системы в отношении этих угроз. В контексте соответствия нормативным требованиям оценка рисков — это процесс оценки степени соблюдения требований и имеющихся в организации недостатков.
Из-за меняющихся требований большинство решений по оценке рисков реализуется в форме приглашения специалистов для консультации с применением средств для выполнения оценок. Существуют также методики проведения оценок собственными силами. Важнейший этап процесса оценки — выявление активов и присвоение каждому активу предприятия качественных или количественных значений.
Управление изменениями
Система управления изменениями — это структурированный процесс, который требует от руководителей ИТ-подразделений рассмотрения на постоянной основе предлагаемых изменений с целью обеспечения технической и деловой готовности. Руководители ИТ-подразделений могут регулировать изменения в соответствии с потребностями и реальностями коммерческой деятельности.
Например, система организации может включать базу данных, позволяющую сотрудникам принимать более взвешенные решения о будущих изменениях на основе данных истории, отражающих успехи или неудачи аналогичных изменений, предпринимавшихся в прошлом. Кроме того, управление изменениями — это структурированный процесс уведомления всех заинтересованных сторон о состоянии и наличии изменений. Этот процесс может выработать систему учета, фиксирующую, когда и какие воздействующие на состояние важнейших ресурсов действия предпринимались, чтобы выявить неполадки и обеспечить управление ресурсами.
Управление изменениями — критически важный элемент соответствия нормативным требованиям, поскольку нельзя утверждать, что среда ИТ находится под контролем, если не знаешь, какие изменения были в нее внесены. Одним из наиболее эффективных способов управления изменениями является использование решения по управлению изменениями. Такое решение объединяет работу ПО, действия персонала и процессы, которые оно использует.
