Состав и содержание базовых процессов

РКЛ по дисциплине «Информационная безопасность»

Раздел 2. Организация и технология обеспечения информационной безопасности

Часть 1

Базовые процессы обеспечения безопасности информационной системы

Предприятия

Базовые процессы обеспечиваются IT подразделением предприятия и/или организацией-аутсорсером и поддерживаются следующими международными стандартами:

- ITIL (Information Technology Infrastructure Library – Библиотека инфраструктуры информационных технологий);

- ITSM (IT Service Management – Управление услугами в области информационных технологий);

- ISO/IЕС 20000-1 «Information technology – Service management. Part 1: Specification» (Информационные технологии. Менеджмент услуг. Часть 1: Спецификация);

- ISO/IЕС 20000-2 «Information technology – Service management. Part 2: Соdе of Practice» (Информационные технологии. Менеджмент услуг. Часть 2: Кодекс практической деятельности).

Следует подчеркнуть, что рассматриваемые процессы не ориентированы специально на обеспечение информационной безопасности. Они нацелены на эффективное обслуживание пользователей ИС, важной составляющей которого является информационная безопасность.

 

Состав и содержание базовых процессов

 

Первые десять процессов поддерживаются всеми перечисленными выше международными стандартами:

1) Управление инцидентами (Incident management).

Инцидент – любое событие, которое не является частью стандартной операцией услуги и которое вызывает или может вызвать прерывание или снижение качества выполнения услуги. Цель процесса управления инцидентами – быстрейшее устранение инцидентов, под которыми понимаются любые события, требующие ответной реакции: компьютерные сбои, запросы на консультации и т.п. Ответная реакция должна заключаться в максимально быстром восстановлении работы, а также минимизация воздействия неблагоприятных последствий на бизнес компании.

В тесной связи с данным процессом рассматриваются вопросы создания и управления подразделением, которое является единой точкой контакта с пользователями и координирует устранение инцидентов, а именно, диспетчерской службой (Service desk, или Help desk). Это подразделение (в терминологии ITIL – «функция»), которое обеспечивает единую и единственную точку входа для всех запросов конечных пользователей и унифицированную процедуру обработки таких запросов со стороны информационной системы.

2) Управление проблемами (Problem management).

Проблема – неизвестная основная причина одного или нескольких инцидентов. Цель процесса управления проблемами – минимизировать нарушения деловых процессов посредством действенной идентификации инцидентов, анализа причин возникновения инцидентов и менеджмента проблем, нацеленного на их закрытие.

3) Управление конфигурациями (Configuration management).

Конфигурация – это набор элементов или компонентов ИТ услуг и инфраструктуры, которые находятся или будут находиться под воздействием менеджмента конфигурации. Цель процесса управления конфигурацией – определять и управлять компонентами услуг и инфраструктуры, а также поддерживать точную информацию о конфигурации. Все элементы конфигурации должны однозначно идентифицироваться и регистрироваться в базе данных менеджмента конфигурации, доступ к обновлению которой должен строго контролироваться.

В качестве конфигурационных единиц обычно рассматриваются используемые в ИС технические средства и программы для ЭВМ любой классификационной группы.

4) Управление изменениями (Change management).

В процессе управления изменениями необходимо иметь в виду следующее. С одной стороны, каждое изменение в IT-инфраструктуре делается с намерением оптимизировать бизнес-процессы. Но вместе с тем любое изменение потенциально опасно для инфраструктуры. Цель данного процесса – допускать только разумные изменения, а также координировать проведение изменений, находить компромиссы между потребностями бизнеса и техническими возможностями ИТ подразделения.

Цель менеджмента изменений – гарантировать, что все изменения оценены, приняты, выполнены и проанализированы контролируемым способом. Все заявки на изменения должны быть зарегистрированы и классифицированы, например "срочное", "экстренное", "значительное", "незначительное". Заявки на изменения должны быть оценены с учетом связанных с ними рисков, влияния и пользы для деловой сферы. Процесс менеджмента изменений должен включать в себя способы, с помощью которых эти изменения в случае, если они окажутся неудачными, будут отменяться (с возвратом в исходное состояние) или исправляться.

5) Управление релизами (Release management).

Релиз – это совокупность новых и (или) измененных элементов конфигурации, которые совместно испытываются и вводятся в рабочую среду. Цель процесса управления релизами – сохранить общую работоспособность производственной среды при проведении изменений, сопровождение релизов, включая их проведение, распространение и отслеживание. Планы реализации релизов должны быть согласованы и санкционированы всеми соответствующими сторонами, например заказчиками, пользователями, оперативным и обслуживающим персоналом. Процесс менеджмента релизов должен включать способы отмены и исправления релизов, если они оказались неудачными.

Процесс менеджмента релизов должен быть интегрирован с процессами менеджмента конфигураций и менеджмента изменений.

6) Управление уровнем сервиса (Service level management).

Цель данного процесса – выявить требуемую структуру и уровень сервисов (услуг), следить за его достижением, а при необходимости – инициировать действия по устранению или замене некачественного сервиса (услуги). Важнейшая часть менеджмента уровня услуг – заключение соглашений об уровне услуг (SLA) и отслеживание их соблюдения. Соглашение об уровне услуг – письменное соглашение между поставщиком услуг и заказчиком, в котором указаны услуги и согласованные уровни услуг.

7) Управление финансами (Financial management for IT services).

Цель процесса управления финансами – обеспечить надежную финансовую базу для всех прочих процессов. В более современной интерпретации эту цель можно определить как управление формированием бюджета и учет затрат на предоставление услуг.

8) Управление мощностью (Capacity management).

Недостаточная мощность IT-инфраструктуры приводит к появлению жалоб пользователей на скорость работы, недостаточный набор предоставляемых возможностей и так далее. В худшем случае работа может вообще остановиться. Устранить подобную ситуацию можно на основе дополнительных инвестиций в ИТ. С другой стороны, излишняя, неиспользуемая, мощность – это впустую потраченные средства. Цель данного процесса – отыскать разумный компромисс между затратами на IT и потребностями пользователей.

9) Управление непрерывностью (IT service continuity management).

Цель процесса – обеспечить гарантированное восстановление инфраструктуры, необходимой для продолжения бизнес-операций, в случае чрезвычайной ситуации: пожара, наводнения, отключения электроэнергии, действий террористов или при других форс-мажорных обстоятельствах.

Иногда вместо термина «управление непрерывностью» используется понятие «управление устойчивостью». Под устойчивостью понимается способность ИС предприятия и ИТ инфраструктуры поддерживать сервисы в работоспособном состоянии в случае чрезвычайных ситуаций.

10) Управление доступностью (Availability management).

Доступность – это способность компонента или услуги выполнять требуемые функции в определенный момент или в течение заданного интервала времени. Доступность обычно выражается как отношение интервала времени, в течении которого услуга является фактически доступной для реализации, к установленному соглашением об уровне сервиса (услуг) периоду предоставления услуги. Цель процесса управления доступностью – гарантировать, что согласованные с заказчиком обязательства по доступности могут быть выполнены при любых обстоятельствах.

Среди процессов, поддерживаемых только стандартами ISO/IЕС 20000-1 и ISO/IЕС 20000-2, можно назвать следующий: