|
|
|
|
Описание стандартов ISO 20000.
 Оценка соответствия IT-услуг требованиям ISO 20000-1:2005 позволяет представить объем
нереализованных требований. Кроме того, удается запланировать их выполнение с учетом
рекомендаций ISO 20000-2:2005, библиотеки ITIL, любой другой методологии или рекомендаций,
связанных с IT-услугами и IT-процессами, а также с применением собственного опыта.
Внедрение ISO 20000-2:2005 или ITIL не является обязательным требованием соответствия
стандарту ISO/IEC 20000-1:2005, но использование практик, упоминаемых в ISO 20000-2:2005
или ITIL, делает этот процесс гораздо более простым и ясным. Следует учитывать, что структуры
процессов, представленных в ISO 20000-1:2005 и ITIL, не полностью соответствуют друг другу:
сегодня ITIL только приводится в соответствие стандарту. А вот стандарт ISO 20000-2:2005,
состоящий из свода практик, структурно полностью соответствует ISO 20000-1:2005.  Отметим, что внедрение ISO 20000-1:2005 оказывается наиболее эффективным, если имеется базисная основа процессов - внедренная система менеджмента качества на основе ISO 9001:2000 и действующая система информационной защиты, базирующаяся на ISO 27001:2005 (ранее BS 7799-2). Организации, прошедшие сертификацию на соответствие ISO 27001:2005, отвечают и требованиям ISO 20000-1:2005 к процессам обеспечения информационной безопасности. А сертификация по ISO 9001:2000 создает общую основу для развития всех процессов компании, влияющую на степень удовлетворенности потребителя. Процесс сертификации. Существуют две возможные схемы сертификации. 1. Расширение области регистрации. После завершения сертификации по ISO 9001:2000 аудитор проверяет компанию на соответствие требованиям ISO 20000. Если результат сертификации оказывается положительным, за счет расширения области регистрации в сертификат добавляется информация о том, что предприятие продемонстрировало соответствие требованиям ISO 20000:2005. 2. Сертификат ISO 20000. В данном случае компания проходит сертификацию на соответствие стандарту ISO 20000 отдельно. Представители сертифицирующей организации посещают предприятие с целью установить соответствие его системы управления IT-услугами требованиям ISO 20000. При положительных результатах аудита выдается сертификат на систему, включающий в себя информацию о соответствии этой системы требованиям ISO 20000-1:2005. Какой бы путь ни выбрала компания, ее система будет подвергаться последующим периодическим проверкам в рамках действующей регистрации. Для предприятия, вплотную подошедшего к сертификации после внедрения СУИС, немаловажно, чтобы аудиторы имели опыт оценки СУИС на соответствие требованиям ISO 20000-1, а также зарегистрированные и подтвержденные технические коды, которые непосредственно связаны с областью деятельности клиента. Нужно получить у аудитора ответы на все вопросы, возникшие на начальной стадии сертификации. Он должен предоставить и калькуляцию, в которой зафиксированы все этапы сертификации, их продолжительность и стоимость. Калькуляция дает четкое представление о размере первоначальных затрат и стоимости поддержания регистрации. Компании следует оформить заявку, по которой будет выделена команда аудиторов. Вначале она проверит документацию на систему управления IT-сервисами и определения процессов системы. Хорошо, если есть возможность провести предварительный (тренировочный) аудит: он поможет подготовить предприятие к сертификационному аудиту и выявить области, требующие совершенствования. Результаты необходимо зафиксировать в отчете; в нем должны подробно описываться все положительные стороны системы и выявленные несоответствия. В ходе сертификационного аудита анализируются система оценки рисков IT-услуг, политика компании, объемы информации, соответствие стандарту и используемые процедуры. В результате могут быть выявлены все упущения, которые потребуется устранить. Затем осуществляется проверка внедренной СУИС, по окончании которой подготавливается отчет. В нем указываются выявленные в ходе оценки сильные и слабые стороны СУИС, а также даются официальные рекомендации. Аспекты обеспечения информационной безопасности в рамках стандарта BS ISO/IEC 20000. Существование большинства бизнес-процессов невозможно без информационного обеспечения. Не секрет, что большинство бизнес-процессов современной организации обеспечиваются исключительно одной или несколькими информационными системами. Внедрение системы управления информационной безопасностью (СУИБ) - важное мероприятие, целью которого является управление процессами информационного обеспечения организации и предотвращение несанкционированного использования информации. Требования бизнеса к ИБ оказывают воздействие на IT-подразделения и должны быть отражены в соглашениях об уровне сервиса (SLA - Service Level Agreement). Задачей процесса управления ИБ в данном контексте является постоянное обеспечение безопасности услуг на согласованном с партнером уровне, а информационная безопасность - важнейший показатель качества управления. C точки зрения поставщика услуг, процесс управления информационной безопасностью способствует интеграции аспектов безопасности в IT-структуру. В свою очередь, принципы построения СУИБ содержатся в сборнике практических рекомендаций BS ISO 17799:2005, который дает исчерпывающее руководство для разработки, внедрения и оценки мер информационной безопасности. Процесс управления ИБ имеет важные связи с другими процессами. Некоторые виды деятельности по обеспечению безопасности осуществляются другими процессами библиотеки ITIL, под контролем процесса управления ИБ. С позиций стандарта BS ISO/IEC 20000 процесс управления информационной безопасностью имеет два целеполагающих значения: - выполнение требований безопасности, закрепленных в SLA, и других требований внешних и внутренних; - соглашений, законодательных актов и установленных правил; - обеспечение базового уровня ИБ, независимого от внешних требований. Входными данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам безопасности, из других процессов, например об инцидентах, связанных с ИБ. Выходные данные включают информацию о достигнутой реализации SLA вместе с отчетами о нештатных ситуациях с точки зрения безопасности, а также информацию о регулярных мероприятиях по улучшению СУИБ. Преимущества внедрения. Эффективное информационное обеспечение с адекватной защитой информации важно для организации по ряду причин. Во-первых, эффективное функционирование организации возможно только при наличии доступа к точной и полной информации. Уровень ИБ должен соответствовать этому принципу. Во-вторых, в результате деятельности организации создаются продукты и услуги, которые доступны рынку или обществу и нужны для выполнения определенных задач. Неадекватное информационное обеспечение влечет производство некачественных продуктов и услуг, которые не могут использоваться для выполнения соответствующих задач и ставят под угрозу существование организации или безопасность зависящих от нее процессов. Процессный подход. Управление ИБ, в рамках управления организацией в целом, сводится к перманентно функционирующему циклу ПОПД - PDCA [Цикл PDCA (plan, do, check, act в переводе: планирование - осуществление - проверка - действие)] - модель непрерывного улучшения процессов, описанная впервые У. Шухартом в 1939 году. Состоит из четырех этапов. На этапе планирования осуществляются идентификация и анализ проблемы, оценка возможностей и планирование необходимых изменений. На этапе выполнения происходит поиск решения проблемы и осуществление запланированных мероприятий. На этапе проверки производится оценка результатов и делаются выводы в соответствии с поставленной задачей. На этапе "действий" принимается решение на основе полученных выводов. Если изменение не решает поставленную задачу, план корректируется и цикл повторяется. Поставщик услуг доводит соглашения до заказчика в форме плана по обеспечению ИБ, определяющего критерии безопасности или операционные соглашения об уровне услуг. Этот план исполняется, результаты оцениваются. Затем план и способы его реализации корректируются, о чем сообщается заказчику. Таким образом, заказчик и поставщик услуг совместно участвуют в формировании всего жизненного цикла процесса. Заказчик может изменить требования на основе получаемых отчетов, а поставщик услуг может корректировать план или его реализацию на основе результатов наблюдения или поставить задачу изменения договоренностей, определенных в SLA. Функция контроля представлена в центре рис. 3. Далее эта диаграмма будет использоваться при описании видов деятельности процесса управления информационной безопасностью. Взаимодействие процессов управления. Процесс управления информационной безопасностью имеет связи с другими процессами управления (см. рис. 4), так как в других процессах выполняются действия, связанные с обеспечением ИБ. Эта деятельность проводится в обычном порядке в рамках ответственности определенного процесса и его владельца. При этом процесс управления информационной безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с ИБ. Обычно соглашения об этом определяются после консультаций между владельцем процесса управления информационной безопасностью и владельцами других процессов. Управление конфигурациями. В контексте информационной безопасности процесс управления конфигурациями позволяет классифицировать информационные активы (ИА). Эта классификация определяет связи между ИА и предпринимаемыми мерами или процедурами обеспечения ИБ. Классификация ИА определяет их конфиденциальность, целостность и доступность. Эта классификация основана на требованиях безопасности SLA. Классификацию определяет заказчик, так как только владелец актива может решить, насколько важны информация или информационные системы для бизнес-процессов. При создании классификации ИА заказчик учитывает степень зависимости бизнес-процессов от информационных систем и информации. Затем проводится привязка классификации к соответствующим ИА. Следующий этап - реализация комплекса мероприятий ИБ для каждого уровня классификации. Эти комплексы мероприятий могут быть описаны как процедуры (например, "Процедура обращения с носителями данных, содержащими конфиденциальную информацию") и составлять единую систему в соответствии с требованиями к документации BS ISO/IEC 27001:2005. В SLA определяются комплексы мер безопасности для каждого уровня классификации. Система классификации совместима со структурой организации-заказчика. Однако для упрощения управления рекомендуется использовать одну общую систему классификации, даже если организация имеет несколько разных заказчиков. Из вышесказанного можно сделать вывод, что классификация является ключевым процессом. Каждый ИА в конфигурационной базе данных (CMDB) должен быть обязательно классифицирован. Эта классификация связывает ИА с соответствующим комплексом мер по защите информации. Управление инцидентами информационной безопасности. Любой инцидент, который может помешать выполнению требований безопасности SLA, классифицируется как инцидент ИБ. Необходимо включать в SLA определение типов инцидентов ИБ. Сообщения об инцидентах ИБ поступают не только от пользователей, но также от различных процессов управления. Крайне необходимо, чтобы процесс управления инцидентами отражал все типы инцидентов ИБ. Это требуется для инициирования соответствующих процедур для обработки инцидентов. Также желательно, чтобы все внешние сообщения, относящиеся к инцидентам ИБ, проходили через менеджера СУИБ. Управление качеством. Процесс управления проблемами отвечает за идентификацию и устранение структурных сбоев СУИБ. Проблема может привести к возникновению риска функционирования СУИБ. Управление проблемами - пролонгированный процесс, в основе которого лежит анализ событий ИБ. Для того чтобы не возникло новых проблем с ИБ, принятое окончательное или обходное решение должно быть тщательно проверено, подкреплено результатами наблюдений и выявления закономерностей. Проверка должна основываться на соответствии предлагаемых решений требованиям SLA и внутренним требованиям ИБ. Управление изменениями. Работы, выполняемые в рамках процесса управления изменениями, тесно связаны с ИБ, так как управление изменениями и управление информационной безопасностью взаимозависимы. Если достигнут приемлемый уровень ИБ, который находится под контролем процесса управления изменениями, то можно гарантировать, что этот уровень ИБ будет обеспечиваться и после проведения изменений. Для поддержки уровня ИБ существует ряд стандартных операций. Каждый запрос на изменения связан с рядом параметров, которые определяют процедуру внесения изменений. Параметры срочности и степени воздействия могут быть дополнены параметром, связанным с безопасностью. Если запрос может оказать значительное воздействие на информационную безопасность, потребуются расширенные приемочные испытания и процедуры. Мероприятия ИБ, связанные с внесением изменений, должны реализовываться одновременно с проведением самих изменений и тестироваться совместно. Управление релизами. Процесс управления релизами осуществляет контроль и развертывание всех новых версий программного обеспечения и технических средств. Этот процесс гарантирует, что: - используется соответствующее аппаратное и программное обеспечение; - аппаратное и программное обеспечение тестируется перед использованием; - внедрение надлежащим образом санкционировано с помощью процедуры изменения; - программное обеспечение является легальным; - программное обеспечение не содержит вирусов, и вирусы не появятся при его распространении; - номера версий известны и зарегистрированы в CMDB процессом управления конфигурациями; - управление развертыванием будет эффективным. Управление уровнем сервиса. Процесс управления уровнем сервиса гарантирует, что договоренности об услугах, предоставляемых организации, определены и выполняются. В соглашениях об уровне сервиса должны учитываться меры ИБ. Целью этого является оптимизация уровня предоставляемых услуг. Управление уровнем сервиса включает ряд видов деятельности, связанных с ИБ, в которых важную роль играет СУИБ: 1. Определение потребностей заказчика в области ИБ. 2. Проверка осуществимости требований заказчика. 3. Предложение, обсуждение и определение уровня обеспечения ИБ IT-услуг в SLA. 4. Определение, разработка и формулирование внутренних требований ИБ для IT-услуг (операционные соглашения об уровне услуг - OLA). 5. Мониторинг стандартов ИБ. 6. Составление отчетов о предоставляемых услугах. Управление ИБ предоставляет управлению уровнем сервиса входную информацию и поддержку для осуществления видов деятельности с 1 по 3. Виды деятельности 4 и 5 функционируют в рамках СУИБ. Для вида деятельности 6 управление ИБ и другие процессы предоставляют необходимую входную информацию. Управление доступностью. Процесс управления доступностью рассматривает техническую доступность IT-компонентов, связанную с доступностью услуги. Качество доступности определяется непрерывностью, ремонтопригодностью и устойчивостью. Так как многие меры ИБ оказывают положительное воздействие и на доступность, и на аспекты ИБ - конфиденциальность и целостность, существенно важной является координация мер между процессами управления доступностью, управления непрерывностью функционирования ИТ и управления ИБ. Управление мощностями. Процесс управления мощностями отвечает за наилучшее использование IT-ресурсов организации. Требования к производительности основаны на количественных и качественных стандартах, определенных процессом управления уровнем услуг. Почти все виды деятельности процесса управления мощностями воздействуют на доступность и, следовательно, также на процесс управления информационной безопасностью. Управление непрерывностью. Процесс управления непрерывностью IT-услуг гарантирует, что воздействие любых непредвиденных обстоятельств будет ограничиваться уровнем, согласованным с заказчиком. Основными видами деятельности являются определение, поддержка, внедрение и тестирование плана обеспечения непрерывной работы и восстановления функционирования, а также принятие превентивных мер. Из-за присутствия в этих видах работ аспектов безопасности возникает связь с процессом управления информационной безопасностью. С другой стороны, невозможность выполнения базовых требований безопасности может сама рассматриваться как чрезвычайное обстоятельство. В связи с недостаточной эффективностью оценок качества услуг организации, реализованных в стандартах ISO 9000, BS 15000 и сертификатах ITIL, Международной организацией по стандартизации внедрен стандарт BS ISO/IEC 20000:2005. ISO-20000 предлагает организационную сертификацию. Поскольку ISO-20000 жестко привязан к ITIL, у IT теперь есть полный пакет: существующие сертификации по ITIL квалифицируют персонал, а ISO-20000 документирует организационное соответствие и делает возможным проведение аудита. Статьи на другие темы: Методология интеграционных процессов. |