http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/s-chego-nachat-normativnye-dokumenty-i-krug-respondentov/ http://www.microfinance.uz/s-chego-nachat-normativnye-dokumenty-i-krug-respondentov/#comments Thu, 28 Aug 2008 13:20:30 +0000 admin http://www.microfinance.uz/2008/08/28/s-chego-nachat-normativnye-dokumenty-i-krug-respondentov/ Если вы специалист по информационной безопасности, который серьезно берется за проведение инвентаризации информационных активов предприятия, то и подготовка к данному мероприятию должна быть соответственно серьезной.
При чересчур сильной ориентации только на себя и свое подразделение специалист по безопасности рискует получить качественный и легко используемый в работе отчет, который тем не менее может не содержать очевидных для пользователей систем уязвимостей и угроз и быть, таким образом, неполным. Пример — описана система, защита которой базируется на контроле доступа с распределением ролей и авторизацией по паролю. Система использования паролей, сертифицированная по уровню XYZ — максимально надежному. Общий вывод — система достаточно надежна. И вдруг… Оказывается, пароль пользователь системы выбирает не сам — ему назначает его администратор и при этом еще сообщает этот пароль руководителю подразделения данного пользователя. Достаточно ли надежна такая система? Ответ, конечно, очень зависит от многих факторов, но в общем случае весьма близок к отрицательному. Если просто перечислить список информационных систем и отдать для насыщения его конкретикой конечным менеджерам и пользователям, всегда есть риск быть заваленным какой угодно информацией, только не той, которая нужна. Пример — указана система хранения ключевых отчетов предприятия. В качестве описания можно получить информацию обо всех видах имеющихся отчетов, экранных формах, скорости доступа и пр., но обнаружить во всем этом схему работы подсистемы безопасности очень затруднительно. Причем это в лучшем случае, если респонденты добросовестно отнесутся к своей работе. А ведь можно получить и формальные отписки.
Таким образом, перед началом инвентаризации необходимо разработать, согласовать и утвердить порядок и методику проведения обследования. Этот документ (или документы) должен содержать цели и принципы проведения данного мероприятия, с тем чтобы они были прозрачны для тех, кто будет вовлечен в процесс. Возможно, необходимо утвердить у руководителя предприятия полномочия службы или специалиста, производящего инвентаризацию, а также список участников — привлеченных специалистов, для придания процессу необходимого статуса значимости.
В методической части документа должно быть описано, что нужно сделать привлеченным специалистам, чтобы выполнить свою работу. Целесообразно укомплектовать документ в качестве приложения анкетой, которую структурировать таким образом, чтобы максимально облегчить ее заполнение — выбор из уже имеющихся вариантов, числовые оценки и т. д.

]]> http://www.microfinance.uz/s-chego-nachat-normativnye-dokumenty-i-krug-respondentov/feed/ 0