1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Для построения эффективного процесса управления информационной безопасностью УБ (IT Service Management Security Management - в терминах ITIL [8]) необходима его интеграция с другими процессами в рамках модели. Это позволит использовать результаты их деятельности на этапах планирования безопасности, выполнения, контроля, оценки и улучшения процесса УБ.
Помимо интеграции с процессами модели, процесс УБ использует стандарт по управлению ИБ (BS 7799 [9]), методики по анализу рисков (CRAMM) и подбору персонала (NGI).
В соответствии с сервисным подходом к управлению население получает сервисы по информационной безопасности. Примерами таких сервисов могут быть:
поддержка различных уровней безопасности (пример: указание, что информация, с которой гражданин обратился в администрацию города, конфиденциальна, гарантирует ее нераскрытие посторонним);
поддержка анонимных обращений
и др.
Взаимосвязь процесса УБ с другими процессами модели ( означает, что при соответствующей модификации процедур и функций процессов модели они способны выполнять целый ряд важнейших деятельностей процесса УБ.
Второй важнейшей основой процесса УБ является стандарт BSI – BS 7799. Из полного набора мероприятий по управлению информационной безопасностью, рекомендуемых стандартом BS 7799, процесс УБ поддерживает подмножество, определенное в IT Service Management Security Management библиотеки ITIL.
Процесс УБ не включает анализ рисков. Для этих целей может быть использована методология CRAMM - CCTA Risk Analysis and Management Methodology.
Процесс УБ не включает и анализ персональных качеств ИТ специалистов, обеспечивающих безопасность ИС. Для этих целей может быть использован стандарт NGI (Dutch acronym for the Netherlands association for IT professionals).
Вместе с тем процесс УБ отвечает сервисному подходу и обеспечивает высокую эффективность за счет интеграции с другими процессами модели.
Пример: Обращения жителей должны рассматриваться не как досадная неизбежность, а как события, которые следует всячески поощрять, поскольку они экономят средства города на проведение опросов населения и проверок качества предоставляемых сервисов. Поощрение – это оперативное квалифицированное рассмотрение и информирование обратившегося о результатах или объяснение причин отказа. Поощрение – это доброжелательный контакт с обратившимся. От одной «мелочи» - голоса располагающего к общению – зависит очень многое. Точно также, как непрофессиональное общение может дискредитировать всю систему, так и одно только подозрение, что из БД ИС могут быть получены выборки обращений конкретного человека и переданы посторонним лишит систему управления города доверия жителей и вместе с этим значительной части входной информации.
То, что эта проблема непроста, говорит множество фактов коммерческого распространения персональных данных, утекающих из различных государственных структур.
В данном случае следует предусмотреть рекомендации перечисленных стандартов и исключить возможность недобросовестного использования персонифицированной информации. Уровень сервисов безопасности должен регулярно подтверждаться независимыми аудиторами.
Постоянный адрес статьи в Интернет: http://www.ispl.ru/Model_upravleniya_predostavleniem_servisov_naseleniyu_na_osnove_ITIL_6_bezopasnostiyu.html
Ключевые слова: BS 7799, CRAMM, CCTA, Risk Analysis, Management Methodology, NGI, Security Management