Идентификация и классификация информационных активов

Поставщику услуг следует:

а) поддерживать в актуальном состоянии инвентаризационные данные об информационных активах (например, о компьютерах, средствах связи, окружающем оборудовании, документации и другой информации), необходимых для предоставления услуг;

б) классифицировать каждый актив в соответствии с его критичностью для предоставления услуги и в соответствии с требуемым уровнем защиты, а также назначать владельца, несущего ответственность за обеспечение этой защиты;

в) ответственность за защиту информационного актива следует возложить на владельца этого актива. При необходимости владелец информационного актива может делегировать ежедневные полномочия в области управления информационной безопасностью.

 

Меры по оценке рисков в области безопасности

 

Оценка рисков в области безопасности должна:

а) проводиться с согласованной периодичностью;

б) регистрироваться;

в) актуализироваться при изменениях (потребностей бизнеса, процессов и конфигураций);

г) способствовать пониманию того, что может повлиять на услугу, находящуюся под управлением;

д) предоставлять информацию для принятия решений о том, какие виды контроля необходимо использовать.

 

Риски, связанные с информационными активами

 

Риски, связанные с информационными активами, следует оценивать с учетом:

а) их природы (например, сбой программного обеспечения, ошибки функционирования, отказ средств связи и др.);

б) вероятности;

в) потенциального влияния на бизнес потребителя услуг;

г) накопленного опыта.

 

Безопасность и доступность информации

 

При оценке рисков особое внимание следует уделить следующим вопросам:

а) предотвращению возможности получения конфиденциальной информации сторонами, не имеющими к ней допуска;

б) неточности, неполноте или недостоверности (например, фальсификации) информации;

в) недоступности информации для использования (например, из-за нарушения энергоснабжения);

г) физическому повреждению или уничтожению оборудования, необходимого для предоставления услуг.

Также необходимо учесть цели политики обеспечения информационной безопасности, необходимость выполнения специфицированных требований потребителя услуг к информационной безопасности (например, к уровню доступности информации) и установленные или регулирующие требования по обеспечению информационной безопасности.

 

Средства контроля

 

Дополнительно к другим средствам контроля, применение которых может быть оправдано, и к советам, содержащимся в других разделах ГОСТ Р ИСО/МЭК 20000-2 (например, в разделе о непрерывности услуг), поставщику услуг в качестве хорошей практики управления информационной безопасностью следует применять следующее:

а) высшему руководству необходимо определить свою политику по обеспечению информационной безопасности, довести ее до сведения персонала и до потребителей услуг и осуществлять деятельность, гарантирующую ее эффективное выполнение;

б) роли и ответственности в управлении информационной безопасностью должны быть определены и распределены между соответствующими сотрудниками поставщика услуг;

в) группа ответственных представителей руководства (роль может быть закреплена за сотрудником, исполняющим роль ответственного руководителя) должна осуществлять мониторинг и поддерживать эффективность политики обеспечения информационной безопасности;

г) персонал, исполняющий важные роли по обеспечению информационной безопасности, должен проходить соответствующую подготовку;

д) весь персонал должен быть ознакомлен с политикой обеспечения информационной безопасности;

е) для оценки рисков и внедрения средств контроля информационной безопасности должна быть предусмотрена возможность привлечения экспертов;

ж) эффективность работы средств контроля информационной безопасности не должна понижаться при проведении каких-либо изменений;

з) об инцидентах в сфере информационной безопасности должно быть сообщено согласно процедурам управления инцидентами, а также должен быть инициирован ответ.

 

Документы и записи

 

Записи по обеспечению информационной безопасности следует периодически анализировать для предоставления руководству следующих сведений:

а) об эффективности политики по информационной безопасности;

б) о выявленных тенденциях в части инцидентов в области информационной безопасности;

в) об исходной информации для актуализации плана улучшения услуг;

г) о контроле доступа к информации, активам и устройствам.

Система управления информационной безопасностью, должна быть корректно документирована.

 

 

Процессы отношений

 

Общие сведения

 

Процессы отношений описывают два взаимозависимых аспекта – управление отношениями с потребителями и управление подрядчиками. Настоящий стандарт адресован поставщику услуг, который логически исполняет роль связующего звена между подрядчиками, поставляющими продукцию или услуги этому поставщику услуг, и потребителем, который получает услуги.

Как подрядчики, так и потребитель могут быть внешними или внутренними для организации поставщика услуг. Внешние взаимоотношения необходимо формализовать посредством заключения договоров. Внутренние взаимоотношения необходимо формализовать с помощью внутренних соглашений об услугах, более низкого уровня, чем Соглашения об уровне услуг. Такие соглашения более низкого уровня часто называют операционными соглашениями об уровне услуг.

На рисунке 2 приведена упрощенная схема описанных выше взаимоотношений.

Рисунок 2. Процессы отношений.

 

 

Как показано на рисунке 2, поставщик услуг исполняет роль в цепи поставок, где каждое звено цепи должно увеличивать выгоду, в которой он получает услуги или товары от подрядчика и поставляет усовершенствованные услуги потребителю.

В качестве пояснения, в рамках настоящего раздела термин «поставщик услуг» всегда используется для обозначения организации, к которой применяется данный документ, независимо от её роли или положения в цепи поставок в рамках описанного выше процесса.

На практике взаимоотношения редко бывают настолько простыми, и, как правило, включают в себя большое количество разнообразных участников, исполняющих роли, как подрядчиков, так и потребителей, имеющих между собой как непосредственные взаимосвязи, так и связи через поставщика услуг.

Процессы отношений должны обеспечить, что все стороны:

а) понимают потребности бизнеса и соответствуют им;

б) понимают существующие возможности и ограничения;

в) понимают обязательства и ответственность.

Процессы отношений должны также обеспечить, что удовлетворенность потребителей услуг находится на должном уровне и что прогнозируемые в будущем потребности бизнеса обсуждены и понимаемы.

В организации следует определить и согласовать область применения, роли и ответственность в части взаимоотношений поставщика услуг с потребителями и подрядчиками. Это должно включать определение всех заинтересованных сторон, контактную информацию и способы связи, а также частоту обмена информацией.