15. nWAJSAmim ИИФОРМаМИОНИОЙ ьезопасиосуью

сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.

Внутренние правила работы (политика):

•разработка и реа-мизация впутрен1П1х правил работы (политики), связи с другими правилами;

•цели, общие принципы и значимость;

•описание подпроцессов;

•распределение функщй и ответственностей по подпроцессам;

•С1{язи с другими процессами ITIL и их управлением;

•обп(ая отвстствснпость персонала;

•обработка пицидентов, связанных с безопасностью.

Организация информационной безопасности:

•структурная схема управлетиш;

•структура управления (оргаиизационпая структура);

•более летальное распределение ответственностей;

•учреждение Руководящего комитета по информационной безопасности;

•координация информационной безопасности;

•согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);

•описание процесса авторизатцт средств ИТ в консультации с заказчиком;

•копсультащн! снециааистов;

•сотрудничество между 0[)ганнзац11ями, внутреннее и внепшес взаимодействие;

•независимый ау/цгт информационных систем;

•принципы безопасности при доступе к информации третьих сторон;

•информационная безопасность в договорах с третьими сторонами.

15.4.2. Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятелыюсти, связанной с вопросами безопасности, проводимой в рамках Впспптх Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План ио безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной (гнформагщей для подпроцс"Сса планирования являются не только положения соглашения SLA, ио и принципы политики безопасности поставщика услуг (из подпроцесса 1сонтроля). Примерами этих принципов: «Каждый пользователь должен быть идентнфнцирован уникальнььм образом»; «Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков».

Операцно1П1Ыс Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по бсзоггасности) разрабатываются и реа.чизуются с помощью обычных проце-ду]>. Это означает, что еслп эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все 1геобходимые изменения ИТ-инф])аструктуры проводятся Процессом Управления Изменениями с использованием входной Н1к1юрмации, предоставляемой Процессом Управления Инсрорматц-юнной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.

Policy

Management framework.

Information Security Steenng Committee.

•is. управлеяие иифс>«*маци01«н0й еезогзасвостыго

подпроцесс планпроваппя координируется с процессом управления уровнем сервиса ио вопросам определения содержания раздела по безопасности соглашения sla, его обновления и обеспечения соответствия его положениям. за эту координацию отвечает руководитель процесса управления уровнем сервиса.

требования по безопаспости должны определяться в соглашении sla, по возможности в измеримых показателях. раздел ио безопасности соглашения sla должен гарантировать, что достижение всех требований и стандартов безопасности заказчигса может быть проконтролировано.

15.4.3. Реализация

задачей подпроцесса реализации (виед])ения) является выполнение всех мероприятий, определенных в планах. этот подпроцесс можег поддерживаться слсдующи.м контрольным списком действий.

Классификация и Управление ИТ-ресурса.ми:

•предоставление входных данных для поддержки конфпгуращюиных единиц (ci) в базе cmdb;

•классификация ит-ресурсов в соответствии с согласованнылш приицинамн.

Безопасность персонала:

•задачи и ответственности в описании работ;

•отбор персонала;

•соглашения о конфиденциальности для персона-иа;

•обучение пе])Сонала;

•руководства для персонала по разрешению инцидентов, связа1Н1Ых с безоиаспосгью, и ycTpaneinno обнаружешштх дефектов занщты;

•дисштлинарные меры;

•улучшение осведомленности по вопросам безопасности. Управленне Безопасностью:

•внедрение видов ответственности и распределение обязанностей;

•письменные рабочие.инструкции;

•внутренние правила;

•меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операциоипого использования, обслуживания и выведения из операционной среды;

•отделение среды разработки и тестирования от операционной (рабочей) среды;

•процедуры обработки инцидентов (осуществляемые процессом управления итшдентами);

•использование средств восстановления;

•нредоставление вход1ЮЙ ипформагти для процесса управления изменениями;

•внедрение мер занщты от вирусов;

•внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;

•правильное обратцеиие с 1юси гелями дантплх и их запшта.

Контроль доступа:

•внедрение политики доступа и контроля доступа;

•поддержка привилегий доступа пользователей и ириложепий к сетям, сетевым услугам, компьютерам и приложениям;

•поддержка барьеров сетевой запцтты (({заервол, услуги доступа по телефоиггой линии, мосты и марп1рутизаторы);

•внедре1нтс методов идептификатци! и авторизатцт колип>ютсриых систем, рабочих станций и пк в сети.

15.4.4.Оценка

Существенное значение имеет независимая оценка реализации запланированных мероприятии. Такая оценка необходима для определения эффективности, ее выполненне также требуют заказчики и тре-ьп стороны. (Результаты подпроцесса оценки могут ис1юльзоваться для корректировки согласо-BaiHibix с заказч1п<о.м мер, а также для их реализации. По рсзу;и>татам оцепкн могут 6i>iTb пред-иожс-пы изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.

Суптествует три вида оценки:

•са.\«к"тоятельная (Я1снка; п1Х}волится в первую очередь линейными подразделениями организации;

•впутренптп"! аудит: проводится впутреппими ИТ-аудиторами;

•ипсшпий аудит: проводится впеш1П-1ми ИТ-аудиторами.

В (лличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпрог[сссах. Это необходимо для обеспечения раздслс1нгя ответственностей. Лудит может проводитм:я отделом внпреинего аудита.

Опенка также проводится как ответное действие в случае возникновения инцидентов. Основными видами деятельности являются:

•проверка соответствия политике безопасности и реализагщя Планов по безопасности;

•проведение аудита безопасности ИТ-систем;

•определение и приняч-не мер песоответствукяцего использования ИТ-ресурсов;

•проверка аспектов безопасности в других видах ИТ-аудита.

15.4.5.Поддержка

Б связи с изменением рисков при измепеннях в ИТ-ижЦтраструктуре, в компантш и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает подлержку соответствуюптх разделов по безопасности соглашеппй SLA и поддержку под-)обиых Планов по безопасностн (на Уровне Операционных Соглашений об Уровне Услуг).

Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Прсд;гожепия могут бьгть внедрены или в подпроцессе nJЩHиpoвaиия, или в ходе обеспечения поддержки всего соглашения SLA. В jho-бом случае внесенные предложения могут привести ко включению дополните;п1Иых интщиатив в годовой План но безопасности. Любые изменения подлежат обработке в рамках обьингого Процесса Управления Изменениями.

15.4.6.Составление отчетов

Составление отчетов является видом деятельности 1Ю предоставлению информацин из других подпроцессов. Отчеты составляются для предоставления информации о достигнутых характеристиках безопас1юстн и для информирования зака;1чиков о проблемах безопасности. Вопросы нредоставле-ТИ1Я отчетов обычно согласовываются с заказчиком.

Составление отчетов является важным как для заказчика, так и для ггоставпцгка услуг Заказчики Д0.11ЖНЫ иметь точную информацию об эффективности работы (нап])имер, по реализации мер безопасности) и о принимаемых мерах безопасности. Заказчик также информируется о любых ииттдеп-тах, связанных с безонасностью. Пиже даются предложения по составлению отчетов.