Курс ITIL: Лекция №2 / Раздел №7 [Проектирование сервисов: Управление информационной безопасностью]


https://cdn.pixabay.com/photo/2017/07/12/08/35/industry-2496198_960_720.jpg 

ЦЕЛИ И ЗАДАЧИ

Целью процесса управление информационной безопасностью является согласование безопасности ИТ с безопасностью бизнеса и обеспечение гарантии, что конфиденциальность, целостность и доступность активов организации, информации, данных и ИТ сервисов всегда соответствует согласованным требованиям бизнеса. 

Задачей управления информационной безопасностью является защита интересов тех, кто полагается на информацию, и системы и коммуникации, которые предоставляют информацию от повреждения в результате нарушения конфиденциальности, целостности и доступности. 

Для большинства организаций задачи безопасности выполнены когда: 

  • Информация находится под наблюдение или передается только тем, кто имеет право ее знать (конфиденциальность)
  • Информация является полной, точной и защищена от несанкционированного изменения (целостность)
  • Информация доступна и может использоваться тогда, когда это необходимо, а системы, которые обеспечивают это, могут надлежащим образом противостоять атакам и восстанавливаться или предотвращать сбои (доступность)
  • Деловые транзакции, а также обмен информацией между предприятиями или с партнерами, могут быть доверительными (подлинность и неподдельность).

Входы

БИЗНЕС-ИНФОРМАЦИЯ
Бизнес-информация: из бизнес-стратегии организации, планов и финансовых планов, а также информация об их текущих и будущих требованиях 

УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ
Управление и безопасность: из корпоративного управления и политик и руководств безопасности бизнеса, планов безопасности, оценки рисков и ответов на них 

ИТ ИНФОРМАЦИЯ
ИТ информация: из стратегии, планов и текущих бюджетов ИТ

ИНФОРМАЦИЯ О СЕРВИСАХ
Информация о сервисах: из процесса управление уровнем сервисов (Service Level Management (SLM)), подробная информация о сервисах из портфеля сервисов и каталога сервисов, а также целевых значений уровней сервисов в SLA и SLR, и, возможно, из мониторинга SLA, анализа сервисов и нарушений SLA 

ПРОЦЕССЫ И ОТЧЕТЫ ОЦЕНКИ РИСКОВ
Процессы и отчеты оценки рисков: из управления информационной безопасностью (Information Security Management (ISM)), управления доступностью и управления непрерывностью ИТ сервисов (IT Service Continuity Management (ITSCM)) 

ВСЕ СОБЫТИЯ И НАРУШЕНИЯ БЕЗОПАСНОСТИ
Детали всех событий и нарушений безопасности: из всех областей ИТ и управления ИТ сервисами (ITSM), особенно из управления инцидентами и управления проблемами 

ИНФОРМАЦИЯ ОБ ИЗМЕНЕНИЯХ
Информация об изменениях: из процесса управления изменениями, с расписаниями и необходимость оценки всех изменений и их влияния на все политика, планы и управления безопасностью  CMS Система управления конфигурациями (Configuration Management System (CMS): содержащая информацию о взаимоотношениях между бизнесом, сервисами и поддерживающими сервисами и технологиями 

ДОСТУП ПАРТНЕРОВ И ПОСТАВЩИКОВ
Подробная информация о доступе для партнеров и поставщиков: из управления поставщиками и управления доступностью для внешнего доступа к сервисам и системам  

Выходы

ПОЛИТИКИ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Общая политика Управления информационной безопасностью, а также набор специфических политик безопасности. SMIS Информационная система управления безопасностью (SMIS), содержит все сведения, связанные с управлением информационной безопасностью. 

ПРОЦЕССЫ И ОТЧЕТЫ ОЦЕНКИ РИСКОВ БЕЗОПАСНОСТИ
Пересмотренные процессы и отчеты оценки рисков безопасности. 

НАБОР ЭЛЕМЕНТОВ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ
Набор элементов управления безопасностью, а также сведения об эксплуатации и техническом обслуживании и их связанные риски. 

АУДИТЫ БЕЗОПАСНОСТИ
Аудиты безопасности и отчеты аудитов. 

ПЛАНЫ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ
Расписания и планы тестирования безопасности, включая тесты безопасности проникновения и другие тесты и отчеты безопасности. 

КЛАССИФИКАЦИИ БЕЗОПАСНОСТИ
Набор классификаций безопасности и набор активов секретной информации. 

ОТЧЕТЫ О НАРУШЕНИЯХ БЕЗОПАСНОСТИ
Анализ и отчеты о нарушениях безопасности и важных инцидентах. 

ПОЛИТИКИ УПРАВЛЕНИЯ ДОСТУПОМ 

Политики, процессы и процедуры управления партнерами и поставщиков и их доступом к сервисам и информации.  

КРИТИЧЕСКИЕ ФАКТОРЫ УСПЕХА И КЛЮЧЕВЫЕ ПОКАЗАТЕЛИ ЭФФЕКТИВНОСТИ 

CSF Бизнес защищен от нарушений безопасности

  • KPI Снижение процента нарушений безопасности, сообщенных службой Service Desk
  • KPI Снижение процента последствий нарушений и инцидентов безопасности
  • KPI Увеличение процента соответствия требованиями безопасности в SLA 

CSF Определение четкой и согласованной политики, интегрированной с требованиями бизнеса

  • KPI Снижение количества несоответствий процесса информационной безопасности политике и процессу безопасности бизнеса

CSF Процедуры обеспечения безопасности являются оправданными, уместными и поддерживаются высшим руководством

  • KPI Рост признания и соответствия процедурам безопасности
  • KPI Повышение поддержки и приверженности высшего руководства

CSF Эффективный маркетинг и образование требованиям безопасности, а также осведомленности персонала ИТ о технологиях, поддерживающих сервисы

  • KPI Повышение осведомленности о политике безопасности и ее содержании во всей организации
  • KPI Повышение процента полноты поддерживающих сервисов относительно ИТ компонентов, которые формируют эти сервисы
  • KPI Служба Service Desk поддерживает все сервисы

CSF Механизм для улучшения

  • KPI Количество предлагаемых улучшений для процедур и контроля безопасности
  • KPI Снижение количества несоответствий безопасности, обнаруженных во время аудитов и тестирования безопасности

CSF Информационная безопасность является неотъемлемой частью всех ИТ-сервисов и всех процессов ITSM

  • KPI Увеличение количества сервисов и процессов согласованных с процедурами и контролем безопасности

CSF Доступность сервисов не нарушается инцидентами, связанными с безопасностью

  • KPI Снижение процента последствий нарушений и инцидентов безопасности
  • KPI Сокращение процента количества инцидентов недоступности сервисов, связанных с нарушениями безопасности

CSF Ясное владение и информированность о политиках безопасности в сообществе заказчиков

  • KPI Увеличение процента приемлемых оценок осведомленности о безопасности в вопросниках, заполненных заказчиками и пользователями

РИСКИ 

ВОЗРАСТАЮЩИЕ ТРЕБОВАНИЯ
Возрастающие требования к доступности и надежности. 

НЕНАДЛЕЖАЩЕЕ ИСПОЛЬЗОВАНИЕ И ЗЛОУПОТРЕБЛЕНИЯ
Растущий потенциал для ненадлежащего использования и злоупотреблений при использовании информационных систем, затрагивающие конфиденциальность и этические ценности. 

ВНЕШНИЕ УГРОЗЫ
Внешние угрозы от хакеров, приводящие к атакам типа "Отказ в обслуживании" (DoS) и вирусным атакам, вымогательство, промышленный шпионаж и утечки организационной информации или личных данных. 

ОТСУТСТВИЕ ПРИВЕРЖЕННОСТИ СО СТОРОНЫ БИЗНЕСА
Отсутствие приверженности со стороны бизнеса процессам и процедурам управления информационной безопасностью. 

ОТСТУСТВИЕ ИНФОРМАЦИИ О БУДУЩИХ ПЛАНАХ
Отсутствие приверженности со стороны бизнеса и отсутствие соответствующей информации о будущих планах и стратегиях. 

ОТСУТСТВИЕ ПРИВЕРЖЕННОСТИ СО СТОРОНЫ ВЫСШЕГО РУКОВОДСТВА
Отсутствие приверженности со стороны высшего руководства, или отсутствие ресурсов и бюджета для процесса управления информационной безопасностью. 

БОЛЬШОЕ ВНИМАНИЕ ТЕХНОЛОГИЯМ
Процессы уделяют слишком много внимания вопросам технологий, а не на ИТ-сервисам и потребностям и приоритетам бизнеса.

ИЗОЛЯЦИЯ УПРАВЛЕНИЯ РИСКАМИ
Оценка и управление рисками выполняется изолированно, а не совместно с управлением доступностью и управлением непрерывностью ИТ-сервисов (ITSCM).     

УСТАРЕВАНИЕ ПОЛИТИК И ПЛАНОВ
Политики управления информационной безопасностью, планы, риски и информация устарели и утратили соотнесение с соответствующей информацией и планами бизнеса и безопасности бизнеса. 

БЮРОКРАТИЗАЦИЯ ПОЛИТИК
Политики безопасности становятся излишне бюрократическими и/или очень сложными для выполнения, препятствуя их соблюдению. 

ОТСУТСТВИЕ ЦЕННОСТИ 

Политики безопасности не создают никакой ценности для бизнеса.  

 Статьи курса:

1.  Стратегия сервисов

  1.1 Стратегическое управление сервисами
  1.2 Управление портфелем сервисов
  1.3 Финансовое управление IT сервисами
  1.4 Управление взаимоотношениями с бизнесом

2.  Проектирование сервисов

  2.1 Координирование проектирования
  2.2 Управление каталогом сервисов
  2.3 Управление уровнем сервисов
  2.4 Управление доступностью
  2.5 Управление мощностями
  2.6 Управление непрерывностью сервисов