Jan van Bon - ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL

Процесс Управления Доступностью может помочь ИТ-организации избежать этих потерь и достичь поставленных целей путем предоставления заказчикам необходимых услуг по приемлемой и обос­нованной цене.

Глава 15 Управление Информационной Безопасностью

15.1. Введение

Существование многих бизнес-процессов невозможно без информационного обеспечения. Фактиче­ски все больше и больше бизнес-процессов состоят исключительно из одной или нескольких инфор­мационных систем. Управление Информационной Безопасностью – важный вид деятельности, це­лью которого является контроль процессов обеспечения информацией и предотвращение ее несанк­ционированного использования.

В течение многих лет проблемы Управления Информационной Безопасностью в значительной сте­пени игнорировались. Ситуация меняется. Безопасность сейчас считается одной из главных проб­лем менеджмента на предстоящие годы. Интерес к этому предмету повышается из-за растущего ис­пользования сети Интернет и особенно электронной коммерции. Все больше видов бизнеса откры­вают электронные шлюзы к своей деятельности. Это вызывает опасность постороннего вмешатель­ства и поднимает некоторые важные для бизнеса вопросы. Какие риски мы хотим контролировать и какие меры мы должны предпринять сейчас и в течение следующего бюджетного цикла? Руководст­во высшего уровня должно принимать решения, а это возможно только при глубоком анализе рис­ков. Этот анализ должен предоставить входную информацию для Процесса Управления Информа­ционной Безопасностью, необходимую для определения требований безопасности.

Требования бизнеса к информационной безопасности оказывают воздействие на поставщиков ИТ-услуг и должны быть заложены в Соглашениях об Уровне Сервиса. Задачей Процесса Управления Информационной Безопасностью является постоянное обеспечение безопасности услуг на согласо­ванном с заказчиком уровне. Безопасность в настоящее время является важнейшим показателем ка­чества менеджмента.

Процесс Управления Информационной Безопасностью способствует интеграции аспектов безопас­ности в ИТ-организацию с точки зрения поставщика услуг. Сборник практических рекомендаций по Управлению Информационной Безопасностью (BS 7799) дает руководство для разработки, введе­ния и оценки мер безопасности.

15.1.1. Основные понятия

Процесс Управления Информационной Безопасностью входит в сферу компетенции общей инфор­мационной безопасности, задачей которой является обеспечение сохранности информации. Сохран­ность означает защищенность от известных рисков и, по возможности, уклонение от неизвестных рисков. Инструментом обеспечения этого является безопасность. Целью является защита ценной информации. Ценность информации влияет на необходимый Уровень Конфиденциальности, цело­стности и доступности.

? Конфиденциальность – защита информации от несанкционированного доступа и использования.

? Целостность – точность, полнота и своевременность информации.

? Доступность – информация должна быть доступна в любой момент предварительного согласо­ванного временного интервала. Это зависит от непрерывности работы систем обработки инфор­мации.

Вторичные аспекты включают приватность (конфиденциальность и целостность частной информа­ции), анонимность и проверяемость (возможность проверки правильного использования информа­ции и эффективности мер безопасности).

15.2. Цели процесса

В последние десятилетия почти все виды бизнеса стали более зависимыми от информационных сис­тем. Использование компьютерных сетей также возросло, они не ограничиваются рамками одной организации, они соединяют бизнес-партнеров и обеспечивают связь с внешним миром. Возрастаю­щая сложность ИТ-инфраструктуры означает, что бизнес становится более уязвимым по отноше­нию к техническим сбоям, человеческим ошибкам, злоумышленным действиям, хакерам и взломщи­кам, компьютерным вирусам и т. д. Эта растущая сложность требует унифицированного управлен­ческого подхода. Процесс Управления Информационной Безопасностью имеет важные связи с дру­гими процессами. Некоторые виды деятельности по обеспечению безопасности осуществляются другими процессами библиотеки ITIL, под контролем Процесса Управления Информационной Без­опасностью.

Процесс Управления Информационной Безопасностью имеет две цели:

? выполнение требований безопасности, закрепленных в SLA и других требованиях внешних дого­воров, законодательных актов и установленных правил;

? обеспечение базового Уровня Безопасности, независимого от внешних требований.

Процесс Управления Информационной Безопасностью необходим для поддержки непрерывного функционирования ИТ-организации. Он также способствует упрощению Управления Информаци­онной Безопасностью в рамках Управления Уровнями Сервиса, так как степень сложности Управле­ния SLA зависит также от их количества.

Входными данными для процесса служат соглашения SLA, определяющие требования безопасности, по возможности, дополненные документами, определяющими политику компании в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам безопасности из других процессов, например об инцидентах, связанных с безопасностью. Выходные данные включают информацию о достигнутой реализации соглашений SLA вместе с от­четами о нештатных ситуациях с точки зрения безопасности и регулярные Планы по безопасности. В настоящее время многие организации имеют дело с информационной безопасностью на стратеги­ческом уровне — в информационной политике и информационном планировании, и на операцион­ном уровне, при закупке инструментария и других продуктов обеспечения безопасности. Недоста­точно внимания уделяется реальному Управлению Информационной Безопасностью, непрерывно­му анализу и преобразованию правил работы в технические решения, поддержанию эффективности мер безопасности при изменении требований и среды. Следствием разрыва между операционным и стратегическим уровнями является то, что на тактическом уровне значительные средства вкладыва­ются в уже неактуальные меры безопасности, в то время как должны быть приняты новые, более эф­фективные меры. Задачей Процесса Управления Информационной Безопасностью является обеспе­чение принятия эффективных мер по информационной безопасности на стратегическом, тактиче­ском и операционном уровнях.

15.2.1. Преимущества использования процесса

Информационная безопасность не является самоцелью; она должна служить интересам бизнеса и организации. Некоторые виды информации и информационных услуг являются для организации более важными, чем другие. Информационная безопасность должна соответствовать Уровню Важ­ности Информации. Безопасность планируется путем соблюдения баланса между мерами безопас­ности, ценностью информации и существующими угрозами в среде обработки. Эффективное ин­формационное обеспечение с адекватной защитой информации важно для организации по двум причинам: