Декабрь 19, 2019 Просмотры 21 просмотр

Политики, риски, контроли – ликбез от Deloitte



22 сентября в Ташкенте, в гостинице “DEDEMAN SILK ROAD TASHKENT” прошел семинар посвященный информационной безопасности, проведенный компанией Делойт и Туш СНГ (Deloitte & Touche CIS), подразделением международной компании Deloitte Touche Tohmatsu.



Особо представлять компанию Deloitte не нужно – она входит в «большую четверку» крупнейших в мире консалтинговых и аудиторских компаний. Deloitte пришла на рынок СНГ в далеком 1990 году. На сегодняшний день представительства компании находятся почти во всех государствах СНГ, в том числе и в Узбекистане. Компания предоставляет своим клиентам широкий спектр услуг, включая аудит и содействие в бухгалтерском учете, консультирование, услуги в области налогообложения, корпоративных финансов, корпоративного управления и права.

Одной из сфер деятельности компании является управление рисками. Deloitte предоставляет клиентам консультации по управлению рисками, которые могут возникнуть на разных уровнях организации предприятия, включая стратегические, производственные, финансовые и прочие риски. Помимо этого компания предлагает организациям решения, направленные на выявление и измерение факторов риска, и оценку соответствия существующих систем и бизнес-процессов техническим требованиям, в целях увеличения надежности и эффективности работы всего предприятия.



Этим вопросам и был посвящен сегодняшний семинар. Открыл его Фаниль Мухамедгалиев с докладом «Создание и поддержка системы внутренних контролей».

Что же это такое и для чего они необходимы? Внутренние Контроли это механизмы управления (политики, процедуры, практики и организационные структуры) предназначенные для предоставления обоснованных гарантий достижения бизнес целей, а также предотвращения, обнаружения и корректировки нежелательных событий.

Предприятие без эффективной системы контролей заведомо обречено на неуспех. Ведь в этом случае никто, включая руководство, не в курсе того, что происходит на предприятии, куда уходят средства, чем и зачем занимаются сотрудники, какие локальные задачи и кому ставятся. Короче говоря, полная анархия.

Внедрение системы внутренних контролей повышает эффективность работы предприятия, снижает риски, предоставляет эффективный механизм контроля за деятельностью каждой рабочей группы и предприятия в целом и ведет, в конечном счете, к созданию высокоорганизованной, управляемой, безопасной ИТ инфраструктуры компании.

Построение системы внутренних контролей состоит из нескольких этапов:

  1. Определение цели (Где мы хотим быть?) - Создание высоко организованной, управляемой, безопасной ИТ инфраструктуры с измеряемыми показателями работы, с постоянно улучшающимся качеством предоставления ИТ услуг.
  2. Исследование и анализ (Где мы сейчас?) - Оценка и анализ текущей ситуации, анализ рисков связанных с использованием существующего подхода к управлению ИТ инфраструктурой.
  3. Реализация (Что нам нужно сделать?) - Составление по итогам анализа и оценки отчета и выработка на его основе плана действий по устранению недостатков и внедрению соответствующих процессов. В плане указываются приоритетные сроки с установлением контрольных точек и индикаторов достижения целей, оценочный объем необходимых ресурсов (время, сотрудники, технологии, оборудование и т.д.)
  4. Мониторинг и оценка (Достигли ли мы цели?) - Мониторинг и анализ каждого этапа выполнения задач из плана действий, Отчет по количественным и качественным показателям, Метрики для оценки достижения целей, Постоянный мониторинг и предоставление отчетности, Оптимизация и совершенствование процессов.

Семинар продолжил Искандер Конеев, рассказав собравшимся о новостях в области информационной безопасности и ситуации с нею в России и СНГ. По его словам, уровень зрелости ведущих компаний уже таков, что они переходят от покупки простых технических средств для обеспечения безопасности к покупке консалтинговых решений. Например, в банковской сфере большинство банков предоставляет клиентам сходные услуги. Клиенты же при прочих равных условиях стараются работать с теми банками, где уделено внимание вопросам информационной безопасности. И немудрено – речь идет о деньгах.

В сходной ситуации сейчас и телекоммуникационные компании – по сетям текут уже не только простые данные, но и деньги. Здесь так же обеспечение информационной безопасности выходит на первый план.



Как же обеспечить на предприятии приемлемый уровень информационной безопасности? Этому и был посвящен следующий доклад Искандера Конеева. В нем подробно рассматривались методы разработки политики информационной безопасности «сверху вниз», в виде некой иерархической структуры, приведенной ниже.

- Концепция (Политика верхнего уровня) – принципиальные основы функционирования информационной безопасности на предприятии.
- Стандарты (Политики по направлениям) – что должно присутствовать или быть достигнуто на предприятии, чтобы соответствовать принципиальным основам Концепции
- Процедуры – что должны делать или не делать сотрудники предприятия, чтобы соответствовать Стандартам
- Методики – как выполнять Процедуры, детальное пояснение
- Аварийный план – что и как делать, если случилась непредвиденная или угрожающая ситуация

Также говорилось о необходимости выработки стратегии, где описываются цели и методы их достижения.
Кроме того, были рассмотрены вопросы необходимости четкого распределения ролей в управлении информационной безопасностью, а также введения системы ключевых индикаторов производительности для контроля.

Наконец, последний доклад Искандера Конеева был посвящен основополагающему понятию – анализу информационных рисков, поскольку это – основа построения систем управления информационной безопасностью. Докладчик рассказал о технологии подсчета рисков, количественной и качественной, о типах защищаемых данных а также о сопутствующих проблемах и тонкостях анализа.

Семинар завершился вопросами по практическому применению изложенных в докладах принципов и концепций, а также мини-викториной по вопросам информационной безопасности.


Просмотры 21 просмотр

Статистика просмотров страницы:

  • за прошлый месяц (Февраль 2024) - 3;
  • за последние 3 месяца (Декабрь 2023 - Февраль 2024) - 3;
  • за последний год (Март 2023 - Февраль 2024) - 11;

Отзывы

Админ
Отлично!
Март 28 Админ

Статьи и обзоры Все статьи

GT & Industrial Systems, LP, действующая в Узбекистане через зарегистрированное ...
В начале 2000-х мир киберспорта переживал свою золотую эпоху, а ...
Бухгалтерская программа 1C способствует успешному развитию бизнеса в условиях современной ...
Автоматизация бизнес-процессов и повышение эффективности компании с помощью программы 1С.