Курс лекций Составитель Соркина В. Е. Введение 12
| Вид материала | Курс лекций |
- Курс лекций. Спб, 639.95kb.
- Курс лекций. Спб, 1118.16kb.
- Курс лекций. Спб, 172.51kb.
- Курс лекций введение в профессию "социальный педагог", 4415.45kb.
- Курс лекций Часть 2 Составитель: кандидат экономических наук Г. Н. Кудрявцева Электроизолятор, 1210.68kb.
- Курс лекций Тамбов 2008 Составитель: Шаталова О. А., преподаватель спецдисциплин тогоу, 1556.11kb.
- Курс лекций Барнаул 2001 удк 621. 385 Хмелев В. Н., Обложкина А. Д. Материаловедение, 1417.04kb.
- Г. П. Щедровицкий Методология и философия организационно-управленческой деятельности:, 3029.36kb.
- Темы контрольных работ по дисциплине «Экономическая теория» спо специальность 080110., 17.75kb.
- Введение в курс. Курс лекций Начертательная геометрия в которой рассматриваются следующие, 848.58kb.
Структурный подход к задаче соответствия нормативным требованиям
Этот раздел Руководства по планированию и решению задач соответствия нормативным требованиям знакомит со структурным подходом в достижении соответствия. В нем рассматриваются базовые элементы контрольной структуры и преимущества, которые такой подход предоставляет организациям, намеренным добиться соответствия контрольным показателям в сфере ИТ.
Далее описан процесс, использовавшийся рабочей группой для создания примера контрольной структуры, в которой сопоставлены, с одной стороны, не содержащие жестких предписаний нормативные акты и стандарты, а с другой, конкретные технологии. Это сопоставление поможет добиться одновременного соответствия нескольким нормативным требованиям. Использование такой структуры позволит также избежать дублирования в работе по достижению контрольных показателей в сфере ИТ.
Раздел включает следующие темы.
Основы структуры. В рамках этой темы рассматриваются основы структурного подхода к соответствию нормативным требованиям;
Преимущества использования структурного подхода для организации. Объясняются преимущества структурного подхода в решении задач соответствия предписаниям;
Структура для конкретной организации. Эта тема знакомит с примером контрольной структуры управления и ресурсами, которыми пользовалась рабочая группа проекта для ее разработки.
Основы структуры
По мере роста числа нормативных актов и стандартов, оказывающих влияние на информационные технологии, многим организациям приходится решать непростую задачу выбора приоритетов в обеспечении соответствия требованиям многочисленных правил и предписаний. Например, деятельность зарегистрированной в США открытой акционерной компании, оказывающей финансовые услуги, должна соответствовать нескольким нормативным актам, в том числе законам Грэмма-Лича-Блайли (GLBA) и Сарбейнса-Оксли (SOX), а также различным правилам Комиссии по ценным бумагам и биржам США.
Компания, ставящая перед собой задачу добиться соответствия предписаниям нескольких нормативных актов, может пойти следующим путем:
Проанализировать каждый нормативный акт.
Определить потребности в элементах управления ИТ, обусловленных каждым нормативным актом.
Внедрить надлежащие элементы управления.
Провести аудит для определения степени соответствия нормативным требованиям.
К сожалению, эти действия неэффективны, поскольку компании придется повторять их в полном объеме в связи с каждым нормативным актом. Неэффективность этой процедуры демонстрируется на приведенном ниже рисунке.
Рис. 3. Неэффективные меры по обеспечению соответствия нормативным актам вне структуры
Разработка единых элементов управления информационными технологиями
В настоящем руководстве рекомендован иной подход к решению задачи соответствия нормативным требованиям. Вместо рассмотрения каждого нормативного акта по отдельности предложена методика одновременного анализа всех упомянутых в данном руководстве важнейших нормативных актов и стандартов, в соответствии с которыми необходимо разработать элементы управления ИТ.
Многие нормативные акты и стандарты, которым должны соответствовать организации, предполагают совпадающие элементы управления. Для повышения эффективности часто целесообразно внедрить единый элемент управления, который бы обеспечил соблюдение требований сразу нескольких нормативных актов и стандартов.
Например, такие нормативные акты, как HIPAA, GLBA, SOX и законы, основанные на EUDPD, требуют процедур, которые обеспечили бы контроль над действиями по запросу, созданию, предоставлению, приостановке и упразднению учетных записей пользователей. Создание единого набора элементов управления жизненным циклом учетных записей пользователей удовлетворит требования сразу всех этих нормативных актов и повысит эффективность принимаемых организацией мер.
На приведенном ниже рисунке показана методика одновременного использования элементов управления информационными технологиями для обеспечения соблюдения сразу нескольких основных нормативных актов и стандартов.
Рис. 4. Элементы управления ИТ одновременно обеспечивают соблюдение нескольких нормативных актов и стандартов
Далее речь пойдет о том, каким образом хорошо продуманная структура соответствия нормативным требованиям поможет организациям получить дополнительные преимущества.
Преимущества структурного подхода для организации
Структурный подход предоставляет организациям немало существенных преимуществ в решении задачи достижения контрольных показателей соответствия нормативным требованиям. Он позволяет:
интегрировать элементы управления ИТ для обеспечения соответствия нескольким нормативным актам и стандартам, таким как SOX и HIPAA, во избежание проведения отдельных аудитов;
обеспечить скорейшее соответствие новым нормативным актам по мере их вступления в силу;
обеспечить приоритетное финансирование только тех элементов управления ИТ, которые приносят наибольший эффект;
избегать дублирования работ с целью соответствия предписаниям в различных подразделениях компании;
более эффективно осуществлять обновления в отношении предписаний путем постепенного внесения изменений в имеющиеся в организации элементы управления ИТ;
наладить взаимопонимание между ИТ-подразделением и аудиторами.
На приведенном ниже рисунке показано, как использование контрольной структуры управления упрощает достижение соответствия нормативным требованиям.
Рис. 5. Концептуальная модель контрольной структуры управления