Ян Ван Бон - ИТ Сервис-менеджмент. Введение

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

ИТ Сервис-менеджмент. Введение

Автор:

Ян Ван Бон

Издательство:

Van Haren Publishing, по заказу ITSMF Netherlands

Жанр:

Прочая околокомпьтерная литература

Год:

неизвестен

ISBN:

90-77212-15-9

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "ИТ Сервис-менеджмент. Введение"

Описание и краткое содержание "ИТ Сервис-менеджмент. Введение" читать бесплатно онлайн.

Внутренние правила работы (политика)[250]:

• разработка и реализация внутренних правил работы (политики), связи с другими правилами;

• цели, общие принципы и значимость;

• описание подпроцессов;

• распределение функций и ответственностей по подпроцессам;

• связи с другими процессами ITIL и их управлением;

• общая ответственность персонала;

• обработка инцидентов, связанных с безопасностью.

Организация информационной безопасности:

• структурная схема управления[251];

• структура управления (организационная структура);

• более детальное распределение ответственностей;

• учреждение Руководящего комитета по информационной безопасности[252];

• координация информационной безопасности;

• согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);

• описание процесса авторизации средств ИТ в консультации с заказчиком;

• консультации специалистов;

• сотрудничество между организациями, внутреннее и внешнее взаимодействие;

• независимый аудит информационных систем;

• принципы безопасности при доступе к информации третьих сторон;

• информационная безопасность в договорах с третьими сторонами.

15.4.2. Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: «Каждый пользователь должен быть идентифицирован уникальным образом»; «Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков».

Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.

Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

15.4.3. Реализация

Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

Классификация и Управление ИТ-ресурсами:

• предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;

• классификация ИТ-ресурсов в соответствии с согласованными принципами.

Безопасность персонала:

• задачи и ответственности в описании работ;

• отбор персонала;

• соглашения о конфиденциальности для персонала;

• обучение персонала;

• руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;

• дисциплинарные меры;

• улучшение осведомленности по вопросам безопасности.

Управление Безопасностью:

• внедрение видов ответственности и распределение обязанностей;

• письменные рабочие инструкции;

• внутренние правила;

• меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;

• отделение среды разработки и тестирования от операционной (рабочей) среды;

• процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);

• использование средств восстановления;

• предоставление входной информации для Процесса Управления Изменениями;

• внедрение мер защиты от вирусов;

• внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;

• правильное обращение с носителями данных и их защита.

Контроль доступа:

• внедрение политики доступа и контроля доступа;

• поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;

• поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);

• внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети

15.4.4. Оценка

Существенное значение имеет независимая оценка реализации запланированных мероприятий. Такая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласованных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложены изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.

Существует три вида оценки:

• самостоятельная оценка: проводится в первую очередь линейными подразделениями организации;

• внутренний аудит: проводится внутренними ИТ-аудиторами;

• внешний аудит: проводится внешними ИТ-аудиторами.

В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита.

Оценка также проводится как ответное действие в случае возникновения инцидентов.

Основными видами деятельности являются:

• проверка соответствия политике безопасности и реализация Планов по безопасности;

• проведение аудита безопасности ИТ-систем;

• определение и принятие мер несоответствующего использования ИТ-ресурсов;

• проверка аспектов безопасности в других видах ИТ-аудита.

15.4.5. Поддержка

В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку подробных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг).

Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В любом случае внесенные предложения могут привести ко включению дополнительных инициатив в годовой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями.

15.4.6. Составление отчетов

Составление отчетов является видом деятельности по предоставлению информации из других подпроцессов. Отчеты составляются для предоставления информации о достигнутых характеристиках безопасности и для информирования заказчиков о проблемах безопасности. Вопросы предоставления отчетов обычно согласовываются с заказчиком.

Составление отчетов является важным как для заказчика, так и для поставщика услуг. Заказчики должны иметь точную информацию об эффективности работы (например, по реализации мер безопасности) и о принимаемых мерах безопасности. Заказчик также информируется о любых инцидентах, связанных с безопасностью. Ниже даются предложения по составлению отчетов.