назад Оглавление вперед


[Старт] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [ 64 ] [65] [66] [67] [68] [69] [70] [71] [72]


64

IS. УГГЛВЛШИЕ МЙФОРМАМИОНИОЙ ЕЕЗОПАСМОСПЮ

В этом процессе также пспользуется обычная процедура приемки, которая должна охватывать аспекты ппформа1ик)1П10п безопасности. Рассмотрение аспектов безонасности во время тестирования и приемки является особенно важным. Это означает, что требования и меры ио безопасности, определенные в SLA, должны соблюдаться постоянно.

Управленне Уровнем Сервиса

Процесс Управлегшя Уровнем Сервиса гарантирует, что договоренности об услугах, предоставляемых .заказчикам, определены и выпо;н1яются. В Соглашетшх об Уровне Сервиса должны учитываться также меры безопасности. Целью этого является опти.мизагп1я Уровня Предостаммясмых Услуг. Управле1п-1е Уровнем Сервиса включает ряд видов деятельности, связанных с безопасностью, в которых важную роль играет Управление Гпформациоиной Безопасностью:

1.Определение потребностей заказчика в области безопасности. Естествеино, опрсделетпте нсобхо-дилюсти в безопасности является ответственностью заказчика, так как эти потребности основаны на его интересах.

2.Проверка осунхествимости требоватшй заказчика гю безопасности.

3.Предложение, обсуждение и определение Уровня Бсзопастюти ИТ-услуг в SLA.

4.Определение, разработка и формулирование в11утрен1П1х требовагшй безопасности для ИТ-услуг (Операционные Соглашения об Уровне Услуг - OLA).

5.Мониторинг стандартов безопасности (OLA).

6.Составлегпте отчетов о иредоетавляемых услугах.

Уиравлспнс Информа!тонной Безопасностью предоставляет Управлению Уровнем Сервиса входную информашпо и поддержку для осуществлеття видов деятельности с 1 по 3. Виды деятельности 4 и 5 проводятся Управлением Ин(1)ормационной Безопасностью. Для деятельности fi Управление Информационной Безопасностью и другие процессы предоставляют необходимую входную информацию. Руководители! Процессов Управления Уровнем Сервиса и Управления Информационной Безопасностью после взаимных консультаций решают, кто реально занимается проведением этих операгщй. При составлении соглашений SLA обычно предполагается, что существует обицтй базовьн! Уровень Безопасности (baseline). Дополнительные требования заказчика но безопасности должны четко определяться в SLA.

Управление Доступностью

Процесс Управления Доступностью рассматривает техническую доступность ИТ-компонеитов, связанную с доступностью услуги. Качество доступности определяется непрерывностью, ремонтопригодностью и устойчивостью. Так как М1югие меры безопасности оказывают положителг.ное воздействие и па доступное ть, и иа аспекты безопасности - коифиданцталыюсть и целосиюсть, существенно важной является координация мер между Процессами Управления Доступностью, Управления Непрерывностью ИТ-услуг и Управления Информационной Безопасностью.

Управление Мощностями

Процесс Управления Мощностями отвечает за наилучнгсе использование ИТ-ресурсов в соотвечст-вии с дого1юреиностью с заказчиком. Требования ио производительности основаны иа ко.пичествеи-иых и качественных стандартах, определенных Управлением Уровнем Услуг. Почти все виды деятельности Процесса Управления Мопцюстямн воздействуют на доступность и, следовательно, также на Процесс Управлеття Информационной Безопасностью.

Управление Непрерывностью ИТ-услуг

Процесс Управления Непрерывностью ИТ-услуг гарантирует, что во;1действие любых непредвидеи-иых обстоятельст!! будет ограничиваться уровнем, согласованным с заказчиком. Чрезвычайные обстоятельства ие обязательно должны превращаться в катастрофы. Основными видами деятельности являются определение, поддержка, впедреиие и тестирование плана обеспечения непрерывной рабо-



ты и восчпаиовления функциоцпропаиия, а также принятие превентивных мер. Из-за присутствия в этих видах работ аспектов безопасности возптсает связь с Процессом Уирав.пения Информациоп-Hoii Безопасностью. С другой стороны, невозможность )плполнения базовых требований безопасности может сама рассматр1Н1аться как чрезвычайное обстоятельство.

15.3.2, Раздел по Безопасности Соглашения об Уровне Сервиса

Соглашение об Уровне Сервиса (SLA) определяет договоренности с заказчиком. Процесс Управле-Н1Ш Уровнем CcpiHica отвечает за соглашения SLA (см. также главу 10). Соглап1ение SLA является главной движуп1ей силой всех процессов ITIL.

ИТ-орга1П1зацпя определяет степень выполнения требований SLA, включая требования по безопасности. Определеп1П11с в SLA элементы безопасности должны отвечать соответствующим потребностям заказчика. Зака.зчик должен определить важность всех бизнес-процессов (см. рис. 15.3).

Управление Требованиями к Услугам

Соглашение об Уровне Сервиса

Поставщик услуг передает управленческую информацию

Управление Уровнем Сервиса

Компания/заказчик управляют с помощью SLA

Процессы сервис-менеджмента ITIL

Поставщик услуг

Рис. 15.3- Отношения между процессами

(ИСТОЧНИК: OGC)

Зтт1 бизнес-процессы зависят от ИТ-услуг, а поэтому и от ИТ-организации. Заказчик определяет требования к безопасности (требования к информационной безопасности SLA на рис. 15.3 отсутствуют) па основе анализа риска. На рис. 15.4 показано, как определяются элементы безопасности SLA.

Представитель заказчика

-пользователь

-потребитель услуг

Представитель поставщика услуг

-ИТ-организация

-ИТ-подразделение

Соглашение об Уровне Услуг (SIA) Каталог Услуг, включая безопасность

Операционные Соглашения об Уровне Услуг (OLA), возможности поставщика

Внешние договоры внешняя ориентированность,

например, коммуникации, электропитание, обслуживание

Рис 15.4. Составление раздела по безопасности в соглашении SLA

(ИСТОЧНИК: OGC)



Элементы безопасности обсуждаются представителями заказчика и поставнни<а услуг. Постаннипс услуг сравнивает требования к Уровню Услуг Заказчика со своим Каталогом Услуг, где описываются стандартные меры безопасности (базовый Уровень Безопасности). Заказчик может выдвигать до-пол1штельные требоваштя.

Заказчики поставиипс сравнивают требования по Уровшо Услуге Катало-ом Услуг В разделе согланачигя SLA но безопасности могут рассматриваться такие Bonjwcbi, как общая политика информагпюнноп безопасности, cihicok авгоризовапного персонала, процедуры заищты ресурсов, ограничения на копирование данных и т. д.

15.3.3. Раздел по Безопасности Операционного Соглашения об Уровне Услуг (OLA)

Етце одним важным документом является Операционное Соглапшнис об Уровне Услуг. В нем описываются услут, предоставляемые втгутреншьм посгавнцгком услуг Поставщик должен связать эти договорегнюсги с видами ответственности, сущсствуюпщ.ми nnyipn 013гаиизации. В Каталоге Услуг дается их o6niee oiHicanne. В Онсрациониом Соглашении об Уровне Услуг эти общие 01Н1сания преобразуются в конкретные определения всех услуг и их колнюнентов, а также способа выполнения договоренностей об Уровнях Услуг внутри ор!-анизац1П1.

Upmtep. В Каталоге Услуг значится «управление авторизацией пользователей и частных лиц». Операционное ConiauieiHie об Уровне Услуг- конкретизирует это лля всех определенных услуг, предоставляемых ИТ-организацией. Таким образом реализация мероприятия определяется для подразделений, предоставляюпи1х yaiyni UNIX, VMS, NT, Oiacle и т. д.

Там, где это возможно, требования заказчика к Уров1но Сервиса определяются по Каталогу Услуг, а в случае необходимости заключаются допол1Пггельиые соглашегнтя. Такие до1К)лнитсльпь1с меры по-вьштют Уровень Безопасности по сравнению со стандартным.

При составлении согла1пения SLA необходи.мо согласовывать с Управлением Иифорлгациоиной Безопасностью измеряемые Ключевые показатели эффективности (KPI) и критерии. Показатели эффективности должны быть измеряемыми параметрами (метриками), а критерии эффективности должны устанавливаться па достижимом уровне. В некоторых случаях бывает т])удио достичь дого-воретгпости по измеряемым параметрам безопасности. Их легче онузеделнть для доступности сервиса, которая .может иметь цифровое в[.ражсние. Однако для целоспюсти и конфиденциальности сделать это значительно труднее. Поэтому в разделе но безопасности в соглаитении SLA пеобходилиде меры обычно описываются абстрактным языком. Практические нормы но Управлению Информащт-оиной Безопасностью используются как базовый комплекс мер безопасности. В соглапгений SLA также описывается метод определения эффективности. ИТ-организация (поставщик услуг) должна регуляргго предоставлять отчеты оргаиизащит пользователя (заказчика).

15.4. Виды деятельности

15.4.1. Контроль - политика и организация информационной безопасности

Контроль информаци01И1ой безопасности, иредставлшпплй в центре рисунка 15.1, является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Уиравления Информационной Безопасностью, который описывает следуюпцте иодпроцессы: фор.мулироваиие Планов по безопасности, их реализация, оценка рсализащп! и включение оценки в годовые Планы по безопасности (илаиы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Упраапетш Уровнем Сервиса.

Этот вид деятельности определяет подпроцессы, фу1и<ции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выиолиепии). Следующие меры из

[Старт] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [ 64 ] [65] [66] [67] [68] [69] [70] [71] [72]