15. nWAJSAmim ИИФОРМаМИОНИОЙ ьезопасиосуью
сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.
Внутренние правила работы (политика):
•разработка и реа-мизация впутрен1П1х правил работы (политики), связи с другими правилами;
•цели, общие принципы и значимость;
•описание подпроцессов;
•распределение функщй и ответственностей по подпроцессам;
•С1{язи с другими процессами ITIL и их управлением;
•обп(ая отвстствснпость персонала;
•обработка пицидентов, связанных с безопасностью.
Организация информационной безопасности:
•структурная схема управлетиш;
•структура управления (оргаиизационпая структура);
•более летальное распределение ответственностей;
•учреждение Руководящего комитета по информационной безопасности;
•координация информационной безопасности;
•согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);
•описание процесса авторизатцт средств ИТ в консультации с заказчиком;
•копсультащн! снециааистов;
•сотрудничество между 0[)ганнзац11ями, внутреннее и внепшес взаимодействие;
•независимый ау/цгт информационных систем;
•принципы безопасности при доступе к информации третьих сторон;
•информационная безопасность в договорах с третьими сторонами.
15.4.2. Планирование
Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятелыюсти, связанной с вопросами безопасности, проводимой в рамках Впспптх Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План ио безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.
Входной (гнформагщей для подпроцс"Сса планирования являются не только положения соглашения SLA, ио и принципы политики безопасности поставщика услуг (из подпроцесса 1сонтроля). Примерами этих принципов: «Каждый пользователь должен быть идентнфнцирован уникальнььм образом»; «Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков».
Операцно1П1Ыс Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по бсзоггасности) разрабатываются и реа.чизуются с помощью обычных проце-ду]>. Это означает, что еслп эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все 1геобходимые изменения ИТ-инф])аструктуры проводятся Процессом Управления Изменениями с использованием входной Н1к1юрмации, предоставляемой Процессом Управления Инсрорматц-юнной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.
Policy
Management framework.
Information Security Steenng Committee.
•is. управлеяие иифс>«*маци01«н0й еезогзасвостыго
подпроцесс планпроваппя координируется с процессом управления уровнем сервиса ио вопросам определения содержания раздела по безопасности соглашения sla, его обновления и обеспечения соответствия его положениям. за эту координацию отвечает руководитель процесса управления уровнем сервиса.
требования по безопаспости должны определяться в соглашении sla, по возможности в измеримых показателях. раздел ио безопасности соглашения sla должен гарантировать, что достижение всех требований и стандартов безопасности заказчигса может быть проконтролировано.
15.4.3. Реализация
задачей подпроцесса реализации (виед])ения) является выполнение всех мероприятий, определенных в планах. этот подпроцесс можег поддерживаться слсдующи.м контрольным списком действий.
Классификация и Управление ИТ-ресурса.ми:
•предоставление входных данных для поддержки конфпгуращюиных единиц (ci) в базе cmdb;
•классификация ит-ресурсов в соответствии с согласованнылш приицинамн.
Безопасность персонала:
•задачи и ответственности в описании работ;
•отбор персонала;
•соглашения о конфиденциальности для персона-иа;
•обучение пе])Сонала;
•руководства для персонала по разрешению инцидентов, связа1Н1Ых с безоиаспосгью, и ycTpaneinno обнаружешштх дефектов занщты;
•дисштлинарные меры;
•улучшение осведомленности по вопросам безопасности. Управленне Безопасностью:
•внедрение видов ответственности и распределение обязанностей;
•письменные рабочие.инструкции;
•внутренние правила;
•меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операциоипого использования, обслуживания и выведения из операционной среды;
•отделение среды разработки и тестирования от операционной (рабочей) среды;
•процедуры обработки инцидентов (осуществляемые процессом управления итшдентами);
•использование средств восстановления;
•нредоставление вход1ЮЙ ипформагти для процесса управления изменениями;
•внедрение мер занщты от вирусов;
•внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;
•правильное обратцеиие с 1юси гелями дантплх и их запшта.
Контроль доступа:
•внедрение политики доступа и контроля доступа;
•поддержка привилегий доступа пользователей и ириложепий к сетям, сетевым услугам, компьютерам и приложениям;
•поддержка барьеров сетевой запцтты (({заервол, услуги доступа по телефоиггой линии, мосты и марп1рутизаторы);
•внедре1нтс методов идептификатци! и авторизатцт колип>ютсриых систем, рабочих станций и пк в сети.
15.4.4.Оценка
Существенное значение имеет независимая оценка реализации запланированных мероприятии. Такая оценка необходима для определения эффективности, ее выполненне также требуют заказчики и тре-ьп стороны. (Результаты подпроцесса оценки могут ис1юльзоваться для корректировки согласо-BaiHibix с заказч1п<о.м мер, а также для их реализации. По рсзу;и>татам оцепкн могут 6i>iTb пред-иожс-пы изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.
Суптествует три вида оценки:
•са.\«к"тоятельная (Я1снка; п1Х}волится в первую очередь линейными подразделениями организации;
•впутренптп"! аудит: проводится впутреппими ИТ-аудиторами;
•ипсшпий аудит: проводится впеш1П-1ми ИТ-аудиторами.
В (лличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпрог[сссах. Это необходимо для обеспечения раздслс1нгя ответственностей. Лудит может проводитм:я отделом внпреинего аудита.
Опенка также проводится как ответное действие в случае возникновения инцидентов. Основными видами деятельности являются:
•проверка соответствия политике безопасности и реализагщя Планов по безопасности;
•проведение аудита безопасности ИТ-систем;
•определение и приняч-не мер песоответствукяцего использования ИТ-ресурсов;
•проверка аспектов безопасности в других видах ИТ-аудита.
15.4.5.Поддержка
Б связи с изменением рисков при измепеннях в ИТ-ижЦтраструктуре, в компантш и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает подлержку соответствуюптх разделов по безопасности соглашеппй SLA и поддержку под-)обиых Планов по безопасностн (на Уровне Операционных Соглашений об Уровне Услуг).
Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Прсд;гожепия могут бьгть внедрены или в подпроцессе nJЩHиpoвaиия, или в ходе обеспечения поддержки всего соглашения SLA. В jho-бом случае внесенные предложения могут привести ко включению дополните;п1Иых интщиатив в годовой План но безопасности. Любые изменения подлежат обработке в рамках обьингого Процесса Управления Изменениями.
15.4.6.Составление отчетов
Составление отчетов является видом деятельности 1Ю предоставлению информацин из других подпроцессов. Отчеты составляются для предоставления информации о достигнутых характеристиках безопас1юстн и для информирования зака;1чиков о проблемах безопасности. Вопросы нредоставле-ТИ1Я отчетов обычно согласовываются с заказчиком.
Составление отчетов является важным как для заказчика, так и для ггоставпцгка услуг Заказчики Д0.11ЖНЫ иметь точную информацию об эффективности работы (нап])имер, по реализации мер безопасности) и о принимаемых мерах безопасности. Заказчик также информируется о любых ииттдеп-тах, связанных с безонасностью. Пиже даются предложения по составлению отчетов.