15.2. Цели процесса - Jan van Bon

^ 15.2. Цели процесса
В последние десятилетия практически все виды бизнеса стали более зависимыми от информационных систем. Внедрение компьютерных сетей также возросло, они не ограничиваются рамками одной организации, они соединяют бизнес-партнеров и обеспечивают связь 15.2. Цели процесса - Jan van Bon с наружным миром. Растущая сложность ИТ-инфраструктуры значит, что бизнес становится более уязвимым по отношению к техническим сбоям, человечьим ошибкам, злоумышленным действиям, взломщикам и взломщикам, компьютерным вирусам и т. д. Эта возрастающая сложность 15.2. Цели процесса - Jan van Bon просит унифицированного управленческого подхода. Процесс Управления Информационной Безопасностью имеет принципиальные связи с другими процессами. Некие виды деятельности по обеспечению безопасности осуществляются другими процессами библиотеки ITIL, под контролем Процесса Управления Информационной Безопасностью.

Процесс Управления 15.2. Цели процесса - Jan van Bon Информационной Безопасностью имеет две цели:

- выполнение требований безопасности, закрепленных в SLA и других требованиях наружных договоров, законодательных актов и установленных правил;

- обеспечение базисного Уровня Безопасности, независящего от наружных требований 15.2. Цели процесса - Jan van Bon.

Процесс Управления Информационной Безопасностью нужен для поддержки непрерывного функционирования ИТ-организации. Он также содействует упрощению Управления Информационной Безопасностью в рамках Управления Уровнями Сервиса, потому что степень трудности Управления SLA также зависит от их 15.2. Цели процесса - Jan van Bon количества.

Входными данными для процесса служат соглашения SLA, определяющие требования безопасности, по способности, дополненные документами, определяющими политику компании в этой области, также другие наружные требования. Процесс также получает важную информацию, относящуюся к 15.2. Цели процесса - Jan van Bon дилеммам безопасности из других процессов, к примеру об инцидентах, связанных с безопасностью. Выходные данные включают информацию о достигнутой реализации соглашений SLA совместно с отчетами о нештатных ситуациях исходя из убеждений безопасности и постоянные Планы 15.2. Цели процесса - Jan van Bon по безопасности. В текущее время многие организации имеют дело с информационной безопасностью на стратегическом уровне — в информационной политике и информационном планировании, и на операционном уровне, при закупке инвентаря и других 15.2. Цели процесса - Jan van Bon товаров обеспечения безопасности. Недостаточно внимания уделяется реальному Управлению Информационной Безопасностью, непрерывному анализу и преобразованию правил работы в технические решения, поддержанию эффективности мер безопасности при изменении требований и среды. Следствием разрыва меж 15.2. Цели процесса - Jan van Bon операционным и стратегическим уровнями будет то, что на тактическом уровне значимые средства вкладываются в уже неактуальные меры безопасности, в то время как должны быть приняты новые, более действенные меры. Задачей Процесса Управления Информационной Безопасностью 15.2. Цели процесса - Jan van Bon является обеспечение принятия действенных мер по информационной безопасности на стратегическом, тактическом и операционном уровнях.
^ 15.2.1. Достоинства использования процесса
Информационная безопасность не является самоцелью; она должна служить интересам бизнеса и организации. Некие виды инфы и 15.2. Цели процесса - Jan van Bon информационных услуг являются для организации более необходимыми, чем другие. Информационная безопасность должна соответствовать Уровню Значимости Инфы. Безопасность планируется методом соблюдения баланса меж мерами безопасности, ценностью инфы и существующими опасностями в среде 15.2. Цели процесса - Jan van Bon обработки. Действенное информационное обеспечение с адекватной защитой инфы принципиально для организации по двум причинам:

- Внутренние предпосылки: действенное функционирование организации может быть только при наличии доступа к четкой и полной инфы. Уровень 15.2. Цели процесса - Jan van Bon Информационной Безопасности должен соответствовать этому принципу.

- Наружные предпосылки: в итоге выполнения в организации определенных процессов создаются продукты и услуги, которые доступны для рынка либо общества, для выполнения определенных задач. Неадекватное информационное обеспечение ведет 15.2. Цели процесса - Jan van Bon к производству некачественных товаров и услуг, которые не могут употребляться для выполнения соответственных задач и ставят под опасность существование организации. Адекватная защита инфы является принципиальным условием для адекватного информационного обеспечения 15.2. Цели процесса - Jan van Bon. Таким макаром наружное значение информационной безопасности определяется частично ее внутренним значением.

Безопасность может создавать значительную дополнительную цена для информационных систем. Действенная безопасность содействует непрерывности функционирования организации и выполнению ее целей.
15.3. Процесс
Организации 15.2. Цели процесса - Jan van Bon и их информационные системы изменяются. Стандартные шаблоны, такие как Сборник практических советов по Управлению Информационной Безопасностью (Code of Practice for Information Security Management), статичны и недостаточно соответствуют резвым изменениям в ИТ. По этой причине деятельность 15.2. Цели процесса - Jan van Bon, ведущаяся в рамках Процесса Управления Информационной Безопасностью, должна повсевременно пересматриваться в целях обеспечения эффективности Процесса. Управление Информационной Безопасностью сводится к никогда не прекращающемуся циклу планов, действий, проверок и актов. Виды деятельности, проводимые 15.2. Цели процесса - Jan van Bon в рамках процесса Управления Информационной Безопасностью либо в других процессах под контролем Управления Информационной Безопасностью, описываются ниже.





Рис. 15.1. Процесс Управления Информационной Безопасностью (источник: OGC)


Требования заказчика изображены в правом 15.2. Цели процесса - Jan van Bon верхнем углу, как входные данные процесса. Эти требования определяются в разделе о безопасности Соглашения об Уровне Сервиса как услуги по безопасности и обеспечиваемый Уровень Безопасности. Поставщик услуг доводит эти соглашения до ИТ-организации 15.2. Цели процесса - Jan van Bon в форме Плана по безопасности, определяющего аспекты безопасности либо операционные Соглашения об Уровне Услуг. Этот план исполняется и результаты оцениваются. Потом план и методы его реализации корректируются, о чем Управление Уровнем 15.2. Цели процесса - Jan van Bon Сервиса докладывает заказчику. Таким макаром, заказчик и поставщик услуг вкупе участвуют в формировании всего цикла процесса. Заказчик может поменять требования на базе получаемых отчетов, а поставщик услуг может скорректировать план либо его реализацию на 15.2. Цели процесса - Jan van Bon базе результатов наблюдения либо поставить задачку конфигурации договоренностей, определенных в соглашении SLA. Функция контроля представлена в центре рисунка 15.1. Дальше эта диаграмма будет употребляться при описании видов деятельности Процесса Управления Информационной Безопасностью.
^ 15.3.1. Отношения с 15.2. Цели процесса - Jan van Bon другими процессами
Процесс Управления Информационной Безопасностью имеет связи с другими процессами ITIL (см. рис. 15.2), потому что в других процессах производятся деяния, связанные с обеспечением безопасности. Эта деятельность проводится в 15.2. Цели процесса - Jan van Bon обыкновенном порядке в рамках ответственности определенного процесса и его управляющего. При всем этом Процесс Управления Информационной Безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с безопасностью. Обычно соглашения об этом определяются после 15.2. Цели процесса - Jan van Bon консультаций меж Управляющим Процесса Управления Информационной Безопасностью и Руководителями других процессов.





Рис. 15.2. Дела меж Процессом Управления Информационной безопасностью и другими процессами (источник: OGC)


^ Управление Конфигурациями

В контексте информационной безопасности процесс Управления конфигурациями имеет 15.2. Цели процесса - Jan van Bon наибольшее значение, потому что он позволяет систематизировать Конфигурационные Единицы (CI). Эта систематизация определяет связи меж Конфигурационными Единицами и предпринимаемыми мерами либо процедурами безопасности.

Систематизация Конфигурационных Единиц определяет их конфиденциальность, целостность и доступность. Эта 15.2. Цели процесса - Jan van Bon систематизация базирована на требованиях безопасности соглашений SLA. Заказчик ИТ-организации определяет систематизацию, потому что только заказчик может решить, как важны информация либо информационные системы для бизнес-процессов. При разработке систематизации Конфигурационных 15.2. Цели процесса - Jan van Bon Единиц заказчик учитывает степень зависимости бизнес-процессов от информационных систем и инфы. Потом ИТ-организация увязывает систематизацию с надлежащими Конфигурационными Единицами. ИТ-организация должна также воплотить комплекс мер безопасности для каждого Уровня Систематизации 15.2. Цели процесса - Jan van Bon. Эти комплексы мер могут быть описаны как процедуры, к примеру "Процедура воззвания с носителями данных с личной информацией". В соглашении SLA могут определяться комплексы мер безопасности для каждого Уровня 15.2. Цели процесса - Jan van Bon Систематизации. Система систематизации должна всегда быть совместима со структурой организации заказчика. Но для упрощения управления рекомендуется использовать одну общую систему систематизации, даже если ИТ-организация имеет несколько заказчиков.

Из вышесказанного можно прийти 15.2. Цели процесса - Jan van Bon к выводу, что систематизация является главным моментом. Любая Конфигурационная Единица в Конфигурационной Базе Данных (CMDB) должна быть классифицирована. Эта систематизация связывает Конфигурационную Единицу с подходящим комплексом мер безопасности либо процедурой.

^ Управление Инцидентами

Управление 15.2. Цели процесса - Jan van Bon Инцидентами является принципиальным процессом, информирующим о наличии инцидентов, связанных с безопасностью. По собственной природе связанные с безопасностью инциденты могут быть обработаны при помощи другой процедуры, чем другие инциденты. Потому принципиально, чтоб 15.2. Цели процесса - Jan van Bon Процесс Управления Инцидентами распознавал инциденты по безопасности как таковые. Хоть какой инцидент, который может помешать выполнению требований безопасности SLA, классифицируется как инцидент по безопасности. Было бы полезным включить в соглашения SLA определение 15.2. Цели процесса - Jan van Bon типов инцидентов, рассматривающихся как инциденты по безопасности. Хоть какой инцидент, препятствующий достижению базисного внутреннего Уровня Безопасности, также всегда классифицируется как инцидент по безопасности.

Сообщения об инцидентах поступают не только лишь от юзеров, но также от 15.2. Цели процесса - Jan van Bon разных Процессов Управления, может быть, на базе аварийных сигналов либо данных системного аудита. Очень нужно, чтоб Процесс Управления Инцидентами распознавал все инциденты по безопасности. Это требуется для инициирования соответственных процедур для 15.2. Цели процесса - Jan van Bon обработки таких инцидентов. Рекомендуется включить в планы процедуры для разных типов инцидентов по безопасности и опробовать их на практике. Также рекомендуется согласовывать функцию оповещения об инцидентах, связанных с безопасностью. Часто паника появляется 15.2. Цели процесса - Jan van Bon из-за чрезвычайно раздутых слухов. Точно так же часто отсутствие своевременного оповещения об инцидентах по безопасности приводит к появлению вреда. Лучше, чтоб все наружные сообщения, относящиеся к инцидентам по безопасности, проходили через управляющего 15.2. Цели процесса - Jan van Bon Процесса Управления Информационной Безопасностью.

^ Управление Неуввязками

Процесс Управления Неуввязками отвечает за идентификацию и устранение структурных сбоев по безопасности. Неувязка может также привести к появлению риска для системы безопасности. В данном случае 15.2. Цели процесса - Jan van Bon Управление Неуввязками должно привлечь на помощь Процесс Управления Информационной Безопасностью. Для того чтоб не появилось новых заморочек с безопасностью, принятое окончательное либо обходное решение должно быть испытано. Эта проверка должна 15.2. Цели процесса - Jan van Bon основываться на согласовании предлагаемых решений требованиям соглашений SLA и внутренним требованиям безопасности.

^ Управление Переменами

Виды работ, выполняемых в рамках Процесса Управления Переменами, нередко бывают плотно сплетены с безопасностью, потому что Управление Переменами и Управление Информационной 15.2. Цели процесса - Jan van Bon Безопасностью взаимозависимы. Если достигнут приемлемый Уровень Безопасности, который находится под контролем Процесса Управления Переменами, то можно гарантировать, что этот Уровень Безопасности будет обеспечиваться и после проведения изменении. Для поддержки этого Уровня 15.2. Цели процесса - Jan van Bon Безопасности существует ряд стандартных операций. Каждый Запрос на конфигурации (RFC) связан с рядом характеристик, которые определяют функцию приемки. Характеристики срочности и степени воздействия могут быть дополнены параметром, связанным с безопасностью. Если 15.2. Цели процесса - Jan van Bon Запрос на конфигурации (RFC) может оказать существенное воздействие на информационную безопасность, потребуются расширенные приемочные тесты и процедуры.

В Запрос на конфигурации (RFC) также должны быть включены предложения по решению вопросов безопасности. Они снова же 15.2. Цели процесса - Jan van Bon должны основываться на требованиях SLA и базисном Уровне Внутренней Безопасности, нужном для ИТ-организации. Как следует, эти предложения будут включать комплекс мер по обеспечению безопасности, основанный на Практических нормах по Управлению 15.2. Цели процесса - Jan van Bon Информационной Безопасностью.

Лучше, чтоб управляющий Процесса Управления Информационной Безопасностью (также, может быть, инспектор по безопасности от заказчика) был членом Консультативного комитета по изменениям (Change Advisory Board – CAB).

Но это не означает 15.2. Цели процесса - Jan van Bon, что по всем изменениям нужно консультироваться с Управляющим Процесса Управления Информационной Безопасностью. В обычной ситуации безопасность должна быть интегрирована в обыденный рабочий режим. Управляющий Процесса Управления Переменами обязан иметь возможность решать 15.2. Цели процесса - Jan van Bon, требуется ли ему либо комитету CAB входная информация от Управляющего Процесса Управления Информационной Безопасностью. Точно так же управляющий Процесса Управления Информационной Безопасностью не непременно должен участвовать в выборе мер для определенных Конфигурационных Единиц затронутых 15.2. Цели процесса - Jan van Bon Запросом на Конфигурации (RFC), потому что для соответственных мер уже должен существовать структурированный подход. Вопросы могут появиться только со методом реализации обозначенных мер.

Любые меры безопасности, связанные со внесением конфигураций, должны реализовываться 15.2. Цели процесса - Jan van Bon сразу с проведением самих конфигураций, и они должны тестироваться вместе. Испытания безопасности отличаются от обыденных многофункциональных тестов. Задачей обыденных тестов является определение доступности определенных функций. При тестировании безопасности инспектируют не только лишь 15.2. Цели процесса - Jan van Bon доступность функций безопасности, но также отсутствие других, ненужных функций, которые могут понизить безопасность системы.

Исходя из убеждений безопасности Управление Переменами является одним из более принципиальных процессов. Это разъясняется тем, что Управление Переменами 15.2. Цели процесса - Jan van Bon вводит новые меры безопасности в ИТ-инфраструктуру вкупе с переменами этой инфраструктуры.

^ Управление Релизами

Процесс Управления Релизами производит контроль и развертывание всех новых версий программного и аппаратного обеспечения, оборудования для 15.2. Цели процесса - Jan van Bon передачи данных и т. д. Этот процесс гарантирует, что:

- употребляется соответственное аппаратное и программное обеспечение;

- аппаратное и программное обеспечение тестируются перед внедрением;

- внедрение соответствующим образом санкционировано при помощи процедуры конфигурации;

- программное обеспечение является законным 15.2. Цели процесса - Jan van Bon;

- программное обеспечение не содержит вирусов, и вирусы не появятся при его распространении;

- номера версий известны и зарегистрированы в Базе Данных CMDB Процессом Управления Конфигурациями;

- управление развертыванием будет действенным.

В этом процессе 15.2. Цели процесса - Jan van Bon также употребляется рядовая процедура приемки, которая должна обхватывать нюансы информационной безопасности. Рассмотрение качеств безопасности во время тестирования и приемки является в особенности принципиальным. Это значит, что требования и меры по безопасности, определенные в 15.2. Цели процесса - Jan van Bon SLA, должны соблюдаться повсевременно.

^ Управление Уровнем Сервиса

Процесс Управления Уровнем Сервиса гарантирует, что договоренности об услугах, предоставляемых заказчикам, определены и производятся. В Соглашениях об Уровне Сервиса должны учитываться также меры безопасности. Целью этого 15.2. Цели процесса - Jan van Bon является оптимизация Уровня Предоставляемых Услуг. Управление Уровнем Сервиса включает ряд видов деятельности, связанных с безопасностью, в каких важную роль играет Управление Информационной Безопасностью:

1. Определение потребностей заказчика в области безопасности 15.2. Цели процесса - Jan van Bon. Естественно, определение необходимости в безопасности является ответственностью заказчика, потому что эти потребности основаны на его интересах.

2. Проверка осуществимости требований заказчика по безопасности.

3. Предложение, обсуждение и определение Уровня Безопасности ИТ-услуг в SLA.

4. Определение, разработка и 15.2. Цели процесса - Jan van Bon формулирование внутренних требований безопасности для ИТ-услуг (Операционные Соглашения об Уровне Услуг – OLA).

5. Мониторинг эталонов безопасности (OLA).

6. Составление отчетов о предоставляемых услугах.

Управление Информационной Безопасностью предоставляет Управлению Уровнем Сервиса входную информацию 15.2. Цели процесса - Jan van Bon и поддержку для воплощения видов деятельности с 1 по 3. Виды деятельности 4 и 5 проводятся Управлением Информационной Безопасностью. Для деятельности 6 Управление Информационной Безопасностью и другие процессы предоставляют нужную входную информацию. Руководители Процессов Управления Уровнем 15.2. Цели процесса - Jan van Bon Сервиса и Управления Информационной Безопасностью после обоюдных консультаций решают, кто реально занимается проведением этих операций. При составлении соглашений SLA обычно подразумевается, что существует общий базисный Уровень Безопасности (baseline). Дополнительные требования заказчика по 15.2. Цели процесса - Jan van Bon безопасности должны верно определяться в SLA

^ Управление Доступностью

Процесс Управления Доступностью рассматривает техно доступность ИТ-компонентов, связанную с доступностью услуги. Качество доступности определяется непрерывностью, ремонтопригодностью и устойчивостью. Потому что многие меры безопасности 15.2. Цели процесса - Jan van Bon оказывают положительное воздействие и на доступность, и на нюансы безопасности — конфиденциальность и целостность, значительно принципиальной является координация мер меж Процессами Управления Доступностью, Управления Непрерывностью ИТ-услуг и Управления Информационной Безопасностью.

^ Управление Мощностями

Процесс 15.2. Цели процесса - Jan van Bon Управления Мощностями отвечает за лучшее внедрение ИТ-ресурсов в согласовании с договоренностью с заказчиком. Требования по производительности основаны на количественных и высококачественных эталонах, определенных Управлением Уровнем Услуг. Практически все виды деятельности Процесса Управления 15.2. Цели процесса - Jan van Bon Мощностями действуют на доступность и, как следует, также на Процесс Управления Информационной Безопасностью.

^ Управление Непрерывностью ИТ-услуг

Процесс Управления Непрерывностью ИТ-услуг гарантирует, что воздействие всех неожиданных событий будет ограничиваться уровнем 15.2. Цели процесса - Jan van Bon, согласованным с заказчиком. Чрезвычайные происшествия не непременно должны преобразовываться в катастрофы. Основными видами деятельности являются определение, поддержка, внедрение и тестирование плана обеспечения непрерывной работы и восстановления функционирования, также принятие превентивных мер 15.2. Цели процесса - Jan van Bon. Из-за присутствия в этих видах работ качеств безопасности появляется связь с Процессом Управления Информационной Безопасностью. С другой стороны, невозможность выполнения базисных требований безопасности может сама рассматриваться как чрезвычайное событие.
^ 15.3.2. Раздел по Безопасности Соглашения об 15.2. Цели процесса - Jan van Bon Уровне Сервиса
Соглашение об Уровне Сервиса (SLA) определяет договоренности с заказчиком. Процесс Управления Уровнем Сервиса отвечает за соглашения SLA (см. также главу 10). Соглашение SLA является главной движущей силой всех процессов ITIL.

ИТ 15.2. Цели процесса - Jan van Bon-организация определяет степень выполнения требований SLA, включая требования по безопасности. Определенные в SLA элементы безопасности должны отвечать подходящим потребностям заказчика. Заказчик должен найти значимость всех бизнес-процессов (см. рис. 15.3).





Рис. 15.3. Дела меж 15.2. Цели процесса - Jan van Bon процессами (источник: OGC)


Эти бизнес-процессы зависят от ИТ-услуг; а потому и от ИТ-организации. Заказчик определяет требования к безопасности (требования к информационной безопасности SLA на рис. 15.3. отсутствуют 15.2. Цели процесса - Jan van Bon) на базе анализа риска. На рис. 15.4. показано, как определяются элементы безопасности SLA.





Рис. 15.4. Составление раздела по безопасности в соглашении SLA (источник: OGC)


Элементы безопасности дискуссируются представителями заказчика и поставщика услуг. Поставщик услуг ассоциирует 15.2. Цели процесса - Jan van Bon требования к Уровню Услуг Заказчика со своим Каталогом Услуг, где описываются стандартные меры безопасности (базисный Уровень Безопасности). Заказчик может выдвигать дополнительные требования.

Заказчик и поставщик ассоциируют требования по Уровню Услуг с Каталогом 15.2. Цели процесса - Jan van Bon Услуг. В разделе соглашения SLA по безопасности могут рассматриваться такие вопросы, как общая политика информационной безопасности, перечень авторизованного персонала, процедуры защиты ресурсов, ограничения на копирование данных и т. д.
^ 15.3.3. Раздел по 15.2. Цели процесса - Jan van Bon Безопасности Операционного Соглашения об Уровне Услуг (OLA)
Еще одним принципиальным документом является Операционное Соглашение об Уровне Услуг. В нем описываются услуги, предоставляемые внутренним поставщиком услуг. Поставщик должен связать эти договоренности с видами ответственности 15.2. Цели процесса - Jan van Bon, существующими снутри организации. В Каталоге Услуг дается их общее описание. В Операционном Соглашении об Уровне Услуг эти общие описания преобразуются в определенные определения всех услуг и их компонент, также метода выполнения договоренностей 15.2. Цели процесса - Jan van Bon об Уровнях Услуг снутри организации.

Пример. В Каталоге Услуг числится "управление авторизацией юзеров и личных лиц". Операционное Соглашение об Уровне Услуг конкретизирует это для всех определенных услуг, предоставляемых ИТ-организацией. Таким 15.2. Цели процесса - Jan van Bon макаром, реализация мероприятия определяется для подразделений, предоставляющих услуги UNIX, VMS, NT, Oracle и т. д.

Там, где это может быть, требования заказчика к Уровню Сервиса определяются по Каталогу Услуг, а в случае необходимости заключаются 15.2. Цели процесса - Jan van Bon дополнительные соглашения. Такие дополнительные меры увеличивают Уровень Безопасности по сопоставлению со стандартным.

При составлении соглашения SLA нужно согласовывать с Управлением Информационной Безопасностью измеряемые Главные характеристики эффективности (KPI) и аспекты. Характеристики 15.2. Цели процесса - Jan van Bon эффективности должны быть измеряемыми параметрами (метриками), а аспекты эффективности должны устанавливаться на достижимом уровне. В неких случаях бывает тяжело достигнуть договоренности по измеряемым характеристикам безопасности. Их легче найти для доступности сервиса, которая может иметь цифровое 15.2. Цели процесса - Jan van Bon выражение. Но для целостности и конфиденциальности сделать это существенно сложнее. Потому в разделе по безопасности в соглашении SLA нужные меры обычно описываются абстрактным языком. Практические нормы по Управлению Информационной Безопасностью 15.2. Цели процесса - Jan van Bon употребляются как базисный комплекс мер безопасности. В соглашении SLA также описывается способ определения эффективности. ИТ-организация (поставщик услуг) должна часто предоставлять отчеты организации юзера (заказчика).


15-rssr-rrrrrrrrrsr-rrssrs-srsrrrrrrrrsr-r-rsrrryosrs-rrrrrsrrrr-ssrssrr-rsryorrrrrrrsrrr-sryorryosrsrrrs-rryoss-rrsrrssss.html
15-shtormi-vo-vremya-bermudskoj-gonki-vstuplenie.html
15-socialnaya-aktivnost-i-socialnoe-partnerstvo-shkoli-publichnij-otchyot-municipalnogo-obsheobrazovatelnogo-uchrezhdeniya.html