• согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);
• описание процесса авторизации средств ИТ в консультации с заказчиком;
• консультации специалистов;
• сотрудничество между организациями, внутреннее и внешнее взаимодействие;
• независимый аудит информационных систем;
• принципы безопасности при доступе к информации третьих сторон;
• информационная безопасность в договорах с третьими сторонами.
15.4.2. Планирование
Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.
Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: «Каждый пользователь должен быть идентифицирован уникальным образом»; «Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков».
Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.
Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.
Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.
15.4.3. Реализация
Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.
Классификация и Управление ИТ-ресурсами:
• предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;
• классификация ИТ-ресурсов в соответствии с согласованными принципами.
Безопасность персонала:
• задачи и ответственности в описании работ;
• отбор персонала;
• соглашения о конфиденциальности для персонала;
• обучение персонала;
• руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;
• дисциплинарные меры;
• улучшение осведомленности по вопросам безопасности.
Управление Безопасностью:
• внедрение видов ответственности и распределение обязанностей;
• письменные рабочие инструкции;
• внутренние правила;
• меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;
• отделение среды разработки и тестирования от операционной (рабочей) среды;
• процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);
• использование средств восстановления;
• предоставление входной информации для Процесса Управления Изменениями;
• внедрение мер защиты от вирусов;
• внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;
• правильное обращение с носителями данных и их защита.
Контроль доступа:
• внедрение политики доступа и контроля доступа;
• поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;