Пример. В Каталоге Услуг значится "управление авторизацией пользователей и частных лиц". Операционное Соглашение об Уровне Услуг конкретизирует это для всех определенных услуг, предоставляемых ИТ-организацией. Таким образом, реализация мероприятия определяется для подразделений, предоставляющих услуги UNIX, VMS, NT, Oracle и т. д.
Там, где это возможно, требования заказчика к Уровню Сервиса определяются по Каталогу Услуг, а в случае необходимости заключаются дополнительные соглашения. Такие дополнительные меры повышают Уровень Безопасности по сравнению со стандартным.
При составлении соглашения SLA необходимо согласовывать с Управлением Информационной Безопасностью измеряемые Ключевые показатели эффективности (KPI) и критерии. Показатели эффективности должны быть измеряемыми параметрами (метриками), а критерии эффективности должны устанавливаться на достижимом уровне. В некоторых случаях бывает трудно достичь договоренности по измеряемым параметрам безопасности. Их легче определить для доступности сервиса, которая может иметь цифровое выражение. Однако для целостности и конфиденциальности сделать это значительно труднее. Поэтому в разделе по безопасности в соглашении SLA необходимые меры обычно описываются абстрактным языком. Практические нормы по Управлению Информационной Безопасностью используются как базовый комплекс мер безопасности. В соглашении SLA также описывается метод определения эффективности. ИТ-организация (поставщик услуг) должна регулярно предоставлять отчеты организации пользователя (заказчика).
15.4. Виды деятельности
15.4.1. Контроль – политика и организация информационной безопасности
Контроль информационной безопасности, представленный в центре рисунка 15.1, является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса.
Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.
Внутренние правила работы (политика)[250]:
? разработка и реализация внутренних правил работы (политики), связи с другими правилами;
? цели, общие принципы и значимость;
? описание подпроцессов;
? распределение функций и ответственностей по подпроцессам;
? связи с другими процессами ITIL и их управлением;
? общая ответственность персонала;
? обработка инцидентов, связанных с безопасностью.
Организация информационной безопасности:
? структурная схема управления[251];
? структура управления (организационная структура);
? более детальное распределение ответственностей;
? учреждение Руководящего комитета по информационной безопасности[252];
? координация информационной безопасности;
? согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);
? описание процесса авторизации средств ИТ в консультации с заказчиком;
? консультации специалистов;
? сотрудничество между организациями, внутреннее и внешнее взаимодействие;
? независимый аудит информационных систем;
? принципы безопасности при доступе к информации третьих сторон;
? информационная безопасность в договорах с третьими сторонами.
15.4.2. Планирование
Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.
Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".
Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.
Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.
Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.
15.4.3. Реализация
Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.
Классификация и Управление ИТ-ресурсами:
? предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;
? классификация ИТ-ресурсов в соответствии с согласованными принципами.
Безопасность персонала:
? задачи и ответственности в описании работ;
? отбор персонала;
? соглашения о конфиденциальности для персонала;
? обучение персонала;
? руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;
? дисциплинарные меры;
? улучшение осведомленности по вопросам безопасности.
Управление Безопасностью:
? внедрение видов ответственности и распределение обязанностей;
? письменные рабочие инструкции;
? внутренние правила;
? меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;
? отделение среды разработки и тестирования от операционной (рабочей) среды;
? процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);
? использование средств восстановления;
? предоставление входной информации для Процесса Управления Изменениями;
? внедрение мер защиты от вирусов;
? внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;