Jan van Bon

Вид материала

Реферат

Содержание 15.4. Виды деятельности Внутренние правила работы (политика) Организация информационной безопасности Безопасность персонала Управление Безопасностью Контроль доступа 15.4.6. Составление отчетов Подпроцесс планирования Подпроцесс внедрения Подпроцесс оценки Специальные отчеты

Подобный материал:

• Методы социологических исследований” Сессия Методы изучения закрытых и труднодоступных, 6.78kb.
• Хенри ван де вельде, 90.42kb.
• Ван Эйк (van Eyck) Ян (около 1390-1441), нидерландский живописец, 43.2kb.
• Мезозоид северного обрамления Тихого океана происходила на фоне сосуществования двух, 235.77kb.
• Известно, что в разных странах формируются отличные друг от друга типы широко распространенных, 190.32kb.
• Copyright Виктор Суворов Date: 31 Jan 2006 Ледокол Запад с его империалистическими, 5235.09kb.
• Управления Мобильной Торговлей оптимум, 198.42kb.
• Holly van Gulden & Lisa M. Bartels-Rabb. Section 2, Ch. 13 School And The Adopted Child, 158.7kb.
• Руководство пользователя Free Pascal версии Версия документа Март 2010 Michael Van, 1360.57kb.

15.4. Виды деятельности

15.4.1. Контроль – политика и организация информационной безопасности

Контроль информационной безопасности, представленный в центре рисунка 15.1, является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса.

Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.

Внутренние правила работы (политика) ²⁵⁰:

- разработка и реализация внутренних правил работы (политики), связи с другими правилами;

- цели, общие принципы и значимость;

- описание подпроцессов;

- распределение функций и ответственностей по подпроцессам;

- связи с другими процессами ITIL и их управлением;

- общая ответственность персонала;

- обработка инцидентов, связанных с безопасностью.

Организация информационной безопасности:

- структурная схема управления²⁵¹;

- структура управления (организационная структура);

- более детальное распределение ответственностей;

- учреждение Руководящего комитета по информационной безопасности²⁵²;

- координация информационной безопасности;

- согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);

- описание процесса авторизации средств ИТ в консультации с заказчиком;

- консультации специалистов;

- сотрудничество между организациями, внутреннее и внешнее взаимодействие;

- независимый аудит информационных систем;

- принципы безопасности при доступе к информации третьих сторон;

- информационная безопасность в договорах с третьими сторонами.

15.4.2. Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".

Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.

Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

15.4.3. Реализация

Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

Классификация и Управление ИТ-ресурсами:

- предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;

- классификация ИТ-ресурсов в соответствии с согласованными принципами.

Безопасность персонала:

- задачи и ответственности в описании работ;

- отбор персонала;

- соглашения о конфиденциальности для персонала;

- обучение персонала;

- руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;

- дисциплинарные меры;

- улучшение осведомленности по вопросам безопасности.

Управление Безопасностью:

- внедрение видов ответственности и распределение обязанностей;

- письменные рабочие инструкции;

- внутренние правила;

- меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;

- отделение среды разработки и тестирования от операционной (рабочей) среды;

- процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);

- использование средств восстановления;

- предоставление входной информации для Процесса Управления Изменениями;

- внедрение мер защиты от вирусов;

- внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;

- правильное обращение с носителями данных и их защита.

Контроль доступа:

- внедрение политики доступа и контроля доступа;

- поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;

- поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);

- внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети

15.4.4. Оценка

Существенное значение имеет независимая оценка реализации запланированных мероприятий. Такая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласованных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложены изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.

Существует три вида оценки:

- самостоятельная оценка: проводится в первую очередь линейными подразделениями организации;

- внутренний аудит: проводится внутренними ИТ-аудиторами;

- внешний аудит: проводится внешними ИТ-аудиторами.

В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита.

Оценка также проводится как ответное действие в случае возникновения инцидентов.

Основными видами деятельности являются:

- проверка соответствия политике безопасности и реализация Планов по безопасности;

- проведение аудита безопасности ИТ-систем;

- определение и принятие мер несоответствующего использования ИТ-ресурсов;

- проверка аспектов безопасности в других видах ИТ-аудита.

15.4.5. Поддержка

В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку подробных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг).

Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В любом случае внесенные предложения могут привести ко включению дополнительных инициатив в годовой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями.

15.4.6. Составление отчетов

Составление отчетов является видом деятельности по предоставлению информации из других подпроцессов. Отчеты составляются для предоставления информации о достигнутых характеристиках безопасности и для информирования заказчиков о проблемах безопасности. Вопросы предоставления отчетов обычно согласовываются с заказчиком.

Составление отчетов является важным как для заказчика, так и для поставщика услуг. Заказчики должны иметь точную информацию об эффективности работы (например, по реализации мер безопасности) и о принимаемых мерах безопасности. Заказчик также информируется о любых инцидентах, связанных с безопасностью. Ниже даются предложения по составлению отчетов.

Примеры регулярных отчетов и включаемых в них событий:

Подпроцесс планирования:

- отчеты о степени соответствия соглашению SLA и согласованным ключевым показателям качества по вопросам безопасности;

- отчеты о внешних договорах и связанных с ними проблемах;

- отчеты об Операционных Соглашениях об Уровне Услуг (внутренние Планы по безопасности) и собственных принципах безопасности поставщика (например, по базовому Уровню Безопасности);

- отчеты о годовых планах по безопасности и планах действий.

Подпроцесс внедрения:

- отчеты о состоянии дел в информационной безопасности. Сюда входят отчет о выполнении годового плана по безопасности, перечень осуществленных или намеченных мер, информация об обучении, результаты дополнительного анализа рисков и т. д.;

- перечень инцидентов, связанных с безопасностью и ответных мер, возможно, в сравнении с предыдущим отчетным периодом;

- определение тенденций возникновения инцидентов;

- состояние программы оповещения.

Подпроцесс оценки:

- отчеты об эффективности подпроцессов;

- результаты аудиторских проверок, анализа и внутренних оценок;

- предупреждения, определение новых угроз.

Специальные отчеты:

Для сообщений об определенных в соглашении SLA инцидентах, связанных с безопасностью, поставщик услуг должен иметь прямой канал связи с представителем заказчика (возможно, инспектором информационной безопасности предприятия) через Руководителей Процессов Управления Уровнем Услуг, Управления Инцидентами или Управления Информационной Безопасностью. Должна быть также определена процедура для связи в особых случаях. За исключением особых обстоятельств, отчеты передаются через Процесс Управления Уровнем Услуг.