ITIL и управление информационной безопасностью
Процесс управления информационной безопасностью, которому посвящена отдельная книга библиотеки ITIL, предназначен для защиты IT-инфраструктуры от несанкционированного использования, оценку рисков возникновения подобного события, управления рисками и противодействия им, а также способам реагирования на инциденты, связанные с нарушением безопасности.
Не секрет, что безопасность сегодня становится одной из главных проблем управления IT-услугами. С одной стороны, большинство компаний уже обладает немалым количеством накопленных данных, являющихся весьма ценным активом. С другой стороны, активное применение Интернета практически во всех сферах бизнеса делает IT-структуру многих компаний до определенной степени доступной извне, а следовательно, потенциально уязвимой. Это означает, что в любой компании существуют определенные риски, связанные с несанкционированным использованием IT-ресурсов и нарушением сохранности информации, и их следует анализировать с тем, чтобы принимать меры по их контролю и устранению наиболее существенных из них.
Требования бизнеса к информационной безопасности должны присутствовать в соглашениях об уровне обслуживания, заключаемых между потребителем IT-услуг и поставщиком (или IT-подразделением), а сам процесс управления информационной безопасностью должен постоянно обеспечивать защиту IT-услуг на согласованном с заказчиком уровне.
Одной из задач управления информационной безопасностью является обеспечение сохранности информации. Это означает ее защищенность от известных рисков и по возможности уклонение от неизвестных рисков, а также соблюдение определенного уровня конфиденциальности (то есть защищенности от несанкционированного доступа и использования), целостности (то есть точности, полноты и своевременности) и доступности. Кроме того, определенное внимание следует уделять возможностям проверки правильного использования информации и эффективности мер безопасности.
Целями данного процесса являются выполнение требований безопасности, закрепленных в соглашении об уровне услуг и других требованиях (например, в требованиях законодательных актов, документов, определяющих политику компании в этой области), а также обеспечение базового уровня безопасности.
Процесс управления информационной безопасностью также получает информацию, относящуюся к проблемам безопасности, из других процессов (например, об инцидентах, связанных с безопасностью).
В настоящее время многие организации имеют дело с информационной безопасностью на стратегическом уровне (в информационной политике и информационном планировании) и на операционном уровне (в частности, при закупке средств обеспечения безопасности). Отметим, что проблемой многих компаний является разрыв между операционным и стратегическим уровнями управления безопасностью, проявляющийся в том, что значительные средства вкладываются в уже неактуальные меры безопасности, в то время как должны быть приняты новые, более эффективные меры. Поэтому еще одной важной задачей процесса управления информационной безопасностью становитсяобеспечение эффективных мер по информационной безопасности и на стратегическом, и на операционном уровнях.
Поскольку информационная безопасность не является самоцелью, а предназначена для обслуживания интересов бизнеса и организации, ее следует планировать с соблюдением разумного баланса между мерами безопасности, ценностью информации и существующими угрозами. Кроме того, деятельность, ведущаяся в рамках управления безопасностью, должна постоянно пересматриваться в силу того, что изменяются характер и вероятность возможных угроз, технические средства их реализации и защиты от них, а также значимость различных угроз. Поэтому управление безопасностью реально сводится к никогда не прекращающемуся циклу планов, действий, проверок.
