? согласование инструментальных средств (например, для анализа риска и улучшения осведомлен­ности);

? описание процесса авторизации средств ИТ в консультации с заказчиком;

? консультации специалистов;

? сотрудничество между организациями, внутреннее и внешнее взаимодействие;

? независимый аудит информационных систем;

? принципы безопасности при доступе к информации третьих сторон;

? информационная безопасность в договорах с третьими сторонами.

15.4.2. Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопро­сам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Приме­рами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным обра­зом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".

Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных проце­дур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.

Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

15.4.3. Реализация

Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определен­ных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

Классификация и Управление ИТ-ресурсами:

? предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;

? классификация ИТ-ресурсов в соответствии с согласованными принципами.

Безопасность персонала:

? задачи и ответственности в описании работ;

? отбор персонала;

? соглашения о конфиденциальности для персонала;

? обучение персонала;

? руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;

? дисциплинарные меры;

? улучшение осведомленности по вопросам безопасности.

Управление Безопасностью:

? внедрение видов ответственности и распределение обязанностей;

? письменные рабочие инструкции;

? внутренние правила;

? меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руко­водства по безопасности для разработки систем, их тестирования, приемки, операционного ис­пользования, обслуживания и выведения из операционной среды;

? отделение среды разработки и тестирования от операционной (рабочей) среды;

? процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);

? использование средств восстановления;

? предоставление входной информации для Процесса Управления Изменениями;

? внедрение мер защиты от вирусов;

? внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;

? правильное обращение с носителями данных и их защита.

Контроль доступа:

? внедрение политики доступа и контроля доступа;

? поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компью­терам и приложениям;

? поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);

? внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети

15.4.4. Оценка

Существенное значение имеет независимая оценка реализации запланированных мероприятий. Та­кая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласо­ванных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложе­ны изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.

Существует три вида оценки:

? самостоятельная оценка: проводится в первую очередь линейными подразделениями организации;

? внутренний аудит: проводится внутренними ИТ-аудиторами;

? внешний аудит: проводится внешними ИТ-аудиторами.

В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита.

Оценка также проводится как ответное действие в случае возникновения инцидентов.

Основными видами деятельности являются:

? проверка соответствия политике безопасности и реализация Планов по безопасности;

? проведение аудита безопасности ИТ-систем;

? определение и принятие мер несоответствующего использования ИТ-ресурсов;

? проверка аспектов безопасности в других видах ИТ-аудита.

15.4.5. Поддержка

В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процес­сах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку под­робных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг).

Поддержание эффективного функционирования системы безопасности проводится на основе ре­зультатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В лю­бом случае внесенные предложения могут привести ко включению дополнительных инициатив в го­довой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями.

15.4.6. Составление отчетов

Составление отчетов является видом деятельности по предоставлению информации из других под­процессов. Отчеты составляются для предоставления информации о достигнутых характеристиках безопасности и для информирования заказчиков о проблемах безопасности. Вопросы предоставле­ния отчетов обычно согласовываются с заказчиком.

Составление отчетов является важным как для заказчика, так и для поставщика услуг. Заказчики должны иметь точную информацию об эффективности работы (например, по реализации мер безо­пасности) и о принимаемых мерах безопасности. Заказчик также информируется о любых инциден­тах, связанных с безопасностью. Ниже даются предложения по составлению отчетов.

Примеры регулярных отчетов и включаемых в них событий:

Подпроцесс планирования:

? отчеты о степени соответствия соглашению SLA и согласованным ключевым показателям качест­ва по вопросам безопасности;