Контроль – политика и организация информационной безопасности
Контроль информационной безопасности, представленный в центре рисунка 15.1, является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса. Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности. Внутренние правила работы (политика)[250]: ? разработка и реализация внутренних правил работы (политики), связи с другими правилами; ? цели, общие принципы и значимость; ? описание подпроцессов; ? распределение функций и ответственностей по подпроцессам; ? связи с другими процессами ITIL и их управлением; ? общая ответственность персонала; ? обработка инцидентов, связанных с безопасностью. Организация информационной безопасности: ? структурная схема управления[251]; ? структура управления (организационная структура); ? более детальное распределение ответственностей; ? учреждение Руководящего комитета по информационной безопасности[252]; ? координация информационной безопасности; ? согласование инструментальных средств (например, для анализа риска и улучшения осведомленности); ? описание процесса авторизации средств ИТ в консультации с заказчиком; ? консультации специалистов; ? сотрудничество между организациями, внутреннее и внешнее взаимодействие; ? независимый аудит информационных систем; ? принципы безопасности при доступе к информации третьих сторон; ? информационная безопасность в договорах с третьими сторонами. Планирование Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети. Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков". Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса. Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса. Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано. Реализация Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий. Классификация и Управление ИТ-ресурсами: ? предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB; ? классификация ИТ-ресурсов в соответствии с согласованными принципами. Безопасность персонала: ? задачи и ответственности в описании работ; ? отбор персонала; ? соглашения о конфиденциальности для персонала; ? обучение персонала; ? руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты; ? дисциплинарные меры; ? улучшение осведомленности по вопросам безопасности. Управление Безопасностью: ? внедрение видов ответственности и распределение обязанностей; ? письменные рабочие инструкции; ? внутренние правила; ? меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды; ? отделение среды разработки и тестирования от операционной (рабочей) среды; ? процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами); ? использование средств восстановления; ? предоставление входной информации для Процесса Управления Изменениями; ? внедрение мер защиты от вирусов; ? внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг; ? правильное обращение с носителями данных и их защита. Контроль доступа: ? внедрение политики доступа и контроля доступа; ? поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям; ? поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы); ? внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети Оценка Существенное значение имеет независимая оценка реализации запланированных мероприятий. Такая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласованных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложены изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями. Существует три вида оценки: ? самостоятельная оценка: проводится в первую очередь линейными подразделениями организации; ? внутренний аудит: проводится внутренними ИТ-аудиторами; ? внешний аудит: проводится внешними ИТ-аудиторами. В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита. Оценка также проводится как ответное действие в случае возникновения инцидентов. Основными видами деятельности являются: ? проверка соответствия политике безопасности и реализация Планов по безопасности; ? проведение аудита безопасности ИТ-систем; ? определение и принятие мер несоответствующего использования ИТ-ресурсов; ? проверка аспектов безопасности в других видах ИТ-аудита. Поддержка В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку подробных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг). Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В любом случае внесенные предложения могут привести ко включению дополнительных инициатив в годовой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями. ©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
|