ЦЕЛИ И ЗАДАЧИ
Целью процесса управление информационной безопасностью является согласование безопасности ИТ с безопасностью бизнеса и обеспечение гарантии, что конфиденциальность, целостность и доступность активов организации, информации, данных и ИТ сервисов всегда соответствует согласованным требованиям бизнеса.
Задачей управления информационной безопасностью является защита интересов тех, кто полагается на информацию, и системы и коммуникации, которые предоставляют информацию от повреждения в результате нарушения конфиденциальности, целостности и доступности.
Для большинства организаций задачи безопасности выполнены когда:
- Информация находится под наблюдение или передается только тем, кто имеет право ее знать (конфиденциальность)
- Информация является полной, точной и защищена от несанкционированного изменения (целостность)
- Информация доступна и может использоваться тогда, когда это необходимо, а системы, которые обеспечивают это, могут надлежащим образом противостоять атакам и восстанавливаться или предотвращать сбои (доступность)
- Деловые транзакции, а также обмен информацией между предприятиями или с партнерами, могут быть доверительными (подлинность и неподдельность).
Входы
БИЗНЕС-ИНФОРМАЦИЯ
Бизнес-информация: из бизнес-стратегии организации, планов и финансовых планов, а также информация об их текущих и будущих требованиях
УПРАВЛЕНИЕ И БЕЗОПАСНОСТЬ
Управление и безопасность: из корпоративного управления и политик и руководств безопасности бизнеса, планов безопасности, оценки рисков и ответов на них
ИТ ИНФОРМАЦИЯ
ИТ информация: из стратегии, планов и текущих бюджетов ИТ
ИНФОРМАЦИЯ О СЕРВИСАХ
Информация о сервисах: из процесса управление уровнем сервисов (Service Level Management (SLM)), подробная информация о сервисах из портфеля сервисов и каталога сервисов, а также целевых значений уровней сервисов в SLA и SLR, и, возможно, из мониторинга SLA, анализа сервисов и нарушений SLA
ПРОЦЕССЫ И ОТЧЕТЫ ОЦЕНКИ РИСКОВ
Процессы и отчеты оценки рисков: из управления информационной безопасностью (Information Security Management (ISM)), управления доступностью и управления непрерывностью ИТ сервисов (IT Service Continuity Management (ITSCM))
ВСЕ СОБЫТИЯ И НАРУШЕНИЯ БЕЗОПАСНОСТИ
Детали всех событий и нарушений безопасности: из всех областей ИТ и управления ИТ сервисами (ITSM), особенно из управления инцидентами и управления проблемами
ИНФОРМАЦИЯ ОБ ИЗМЕНЕНИЯХ
Информация об изменениях: из процесса управления изменениями, с расписаниями и необходимость оценки всех изменений и их влияния на все политика, планы и управления безопасностью CMS Система управления конфигурациями (Configuration Management System (CMS): содержащая информацию о взаимоотношениях между бизнесом, сервисами и поддерживающими сервисами и технологиями
ДОСТУП ПАРТНЕРОВ И ПОСТАВЩИКОВ
Подробная информация о доступе для партнеров и поставщиков: из управления поставщиками и управления доступностью для внешнего доступа к сервисам и системам
Выходы
ПОЛИТИКИ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ
Общая политика Управления информационной безопасностью, а также набор специфических политик безопасности. SMIS Информационная система управления безопасностью (SMIS), содержит все сведения, связанные с управлением информационной безопасностью.
ПРОЦЕССЫ И ОТЧЕТЫ ОЦЕНКИ РИСКОВ БЕЗОПАСНОСТИ
Пересмотренные процессы и отчеты оценки рисков безопасности.
НАБОР ЭЛЕМЕНТОВ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ
Набор элементов управления безопасностью, а также сведения об эксплуатации и техническом обслуживании и их связанные риски.
АУДИТЫ БЕЗОПАСНОСТИ
Аудиты безопасности и отчеты аудитов.
ПЛАНЫ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ
Расписания и планы тестирования безопасности, включая тесты безопасности проникновения и другие тесты и отчеты безопасности.
КЛАССИФИКАЦИИ БЕЗОПАСНОСТИ
Набор классификаций безопасности и набор активов секретной информации.
ОТЧЕТЫ О НАРУШЕНИЯХ БЕЗОПАСНОСТИ
Анализ и отчеты о нарушениях безопасности и важных инцидентах.
ПОЛИТИКИ УПРАВЛЕНИЯ ДОСТУПОМ
Политики, процессы и процедуры управления партнерами и поставщиков и их доступом к сервисам и информации.
КРИТИЧЕСКИЕ ФАКТОРЫ УСПЕХА И КЛЮЧЕВЫЕ ПОКАЗАТЕЛИ ЭФФЕКТИВНОСТИ
CSF Бизнес защищен от нарушений безопасности
- KPI Снижение процента нарушений безопасности, сообщенных службой Service Desk
- KPI Снижение процента последствий нарушений и инцидентов безопасности
- KPI Увеличение процента соответствия требованиями безопасности в SLA
CSF Определение четкой и согласованной политики, интегрированной с требованиями бизнеса
- KPI Снижение количества несоответствий процесса информационной безопасности политике и процессу безопасности бизнеса
CSF Процедуры обеспечения безопасности являются оправданными, уместными и поддерживаются высшим руководством
- KPI Рост признания и соответствия процедурам безопасности
- KPI Повышение поддержки и приверженности высшего руководства
CSF Эффективный маркетинг и образование требованиям безопасности, а также осведомленности персонала ИТ о технологиях, поддерживающих сервисы
- KPI Повышение осведомленности о политике безопасности и ее содержании во всей организации
- KPI Повышение процента полноты поддерживающих сервисов относительно ИТ компонентов, которые формируют эти сервисы
- KPI Служба Service Desk поддерживает все сервисы
CSF Механизм для улучшения
- KPI Количество предлагаемых улучшений для процедур и контроля безопасности
- KPI Снижение количества несоответствий безопасности, обнаруженных во время аудитов и тестирования безопасности
CSF Информационная безопасность является неотъемлемой частью всех ИТ-сервисов и всех процессов ITSM
- KPI Увеличение количества сервисов и процессов согласованных с процедурами и контролем безопасности
CSF Доступность сервисов не нарушается инцидентами, связанными с безопасностью
- KPI Снижение процента последствий нарушений и инцидентов безопасности
- KPI Сокращение процента количества инцидентов недоступности сервисов, связанных с нарушениями безопасности
CSF Ясное владение и информированность о политиках безопасности в сообществе заказчиков
- KPI Увеличение процента приемлемых оценок осведомленности о безопасности в вопросниках, заполненных заказчиками и пользователями
РИСКИ
ВОЗРАСТАЮЩИЕ ТРЕБОВАНИЯ
Возрастающие требования к доступности и надежности.
НЕНАДЛЕЖАЩЕЕ ИСПОЛЬЗОВАНИЕ И ЗЛОУПОТРЕБЛЕНИЯ
Растущий потенциал для ненадлежащего использования и злоупотреблений при использовании информационных систем, затрагивающие конфиденциальность и этические ценности.
ВНЕШНИЕ УГРОЗЫ
Внешние угрозы от хакеров, приводящие к атакам типа "Отказ в обслуживании" (DoS) и вирусным атакам, вымогательство, промышленный шпионаж и утечки организационной информации или личных данных.
ОТСУТСТВИЕ ПРИВЕРЖЕННОСТИ СО СТОРОНЫ БИЗНЕСА
Отсутствие приверженности со стороны бизнеса процессам и процедурам управления информационной безопасностью.
ОТСТУСТВИЕ ИНФОРМАЦИИ О БУДУЩИХ ПЛАНАХ
Отсутствие приверженности со стороны бизнеса и отсутствие соответствующей информации о будущих планах и стратегиях.
ОТСУТСТВИЕ ПРИВЕРЖЕННОСТИ СО СТОРОНЫ ВЫСШЕГО РУКОВОДСТВА
Отсутствие приверженности со стороны высшего руководства, или отсутствие ресурсов и бюджета для процесса управления информационной безопасностью.
БОЛЬШОЕ ВНИМАНИЕ ТЕХНОЛОГИЯМ
Процессы уделяют слишком много внимания вопросам технологий, а не на ИТ-сервисам и потребностям и приоритетам бизнеса.
ИЗОЛЯЦИЯ УПРАВЛЕНИЯ РИСКАМИ
Оценка и управление рисками выполняется изолированно, а не совместно с управлением доступностью и управлением непрерывностью ИТ-сервисов (ITSCM).
УСТАРЕВАНИЕ ПОЛИТИК И ПЛАНОВ
Политики управления информационной безопасностью, планы, риски и информация устарели и утратили соотнесение с соответствующей информацией и планами бизнеса и безопасности бизнеса.
БЮРОКРАТИЗАЦИЯ ПОЛИТИК
Политики безопасности становятся излишне бюрократическими и/или очень сложными для выполнения, препятствуя их соблюдению.
ОТСУТСТВИЕ ЦЕННОСТИ
Политики безопасности не создают никакой ценности для бизнеса.
Статьи курса:
1. Стратегия сервисов
1.1 Стратегическое управление сервисами
1.2 Управление портфелем сервисов
1.3 Финансовое управление IT сервисами
1.4 Управление взаимоотношениями с бизнесом
2. Проектирование сервисов
2.1 Координирование проектирования
2.2 Управление каталогом сервисов
2.3 Управление уровнем сервисов
2.4 Управление доступностью
2.5 Управление мощностями
2.6 Управление непрерывностью сервисов
@kito-boy Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стопВаш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
vika-teplo, dmitrijv, galinakim
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
@kito-boy Поздравляю! Вы добились некоторого прогресса на Голосе и были награждены следующими новыми бейджами:
Вы можете нажать на любой бейдж, чтобы увидеть свою страницу на Доске Почета.
Чтобы увидеть больше информации о Доске Почета, нажмите здесь
Если вы больше не хотите получать уведомления, ответьте на этот комментарий словом
стоп@gemini up!
Ок, @kito-boy!
Я проголосовал за пост: Курс ITIL: Лекция №2 / Раздел №7 [Проектирование сервисов: Управление информационной безопасностью]