Jan van Bon - ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL

Тут можно читать онлайн Jan van Bon - ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL - бесплатно полную версию книги (целиком) без сокращений. Жанр: Прочая околокомпьтерная литература, издательство Van Haren Publishing, по заказу ITSMF Netherlands. Здесь Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL
Автор:

Jan van Bon
Жанр:

Прочая околокомпьтерная литература
Издательство:

Van Haren Publishing, по заказу ITSMF Netherlands
Год:

неизвестен
ISBN:

9077212 94 9
Рейтинг:

3.89/5. Голосов: 91
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Jan van Bon - ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL краткое содержание

ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL - описание и краткое содержание, автор Jan van Bon, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL - читать онлайн бесплатно полную версию (весь текст целиком)

ИТ СЕРВИС–МЕНЕДЖМЕНТ. Вводный курс на основе ITIL - читать книгу онлайн бесплатно, автор Jan van Bon

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

15.4. Виды деятельности

15.4.1. Контроль – политика и организация информационной безопасности

Контроль информационной безопасности, представленный в центре рисунка 15.1, является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса.

Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.

Внутренние правила работы (политика) [250] Policy. :

? разработка и реализация внутренних правил работы (политики), связи с другими правилами;

? цели, общие принципы и значимость;

? описание подпроцессов;

? распределение функций и ответственностей по подпроцессам;

? связи с другими процессами ITIL и их управлением;

? общая ответственность персонала;

? обработка инцидентов, связанных с безопасностью.

Организация информационной безопасности:

? структурная схема управления [251] Management Framework. ;

? структура управления (организационная структура);

? более детальное распределение ответственностей;

? учреждение Руководящего комитета по информационной безопасности [252] Information Security Steering Committee. ;

? координация информационной безопасности;

? согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);

? описание процесса авторизации средств ИТ в консультации с заказчиком;

? консультации специалистов;

? сотрудничество между организациями, внутреннее и внешнее взаимодействие;

? независимый аудит информационных систем;

? принципы безопасности при доступе к информации третьих сторон;

? информационная безопасность в договорах с третьими сторонами.

15.4.2. Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".

Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.

Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

15.4.3. Реализация

Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

Классификация и Управление ИТ-ресурсами:

? предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;

? классификация ИТ-ресурсов в соответствии с согласованными принципами.

Безопасность персонала:

? задачи и ответственности в описании работ;

? отбор персонала;

? соглашения о конфиденциальности для персонала;

? обучение персонала;

? руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;

? дисциплинарные меры;

? улучшение осведомленности по вопросам безопасности.

Управление Безопасностью:

? внедрение видов ответственности и распределение обязанностей;

? письменные рабочие инструкции;

? внутренние правила;

? меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;

? отделение среды разработки и тестирования от операционной (рабочей) среды;

? процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);

? использование средств восстановления;

? предоставление входной информации для Процесса Управления Изменениями;

? внедрение мер защиты от вирусов;

? внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;

? правильное обращение с носителями данных и их защита.

Контроль доступа:

? внедрение политики доступа и контроля доступа;

? поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;

? поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);