Хелпдеск, helpdesk, иногда service desk — (от англ. help desk, справочный стол) информационная система технической поддержки, решения проблем пользователей с компьютерами, аппаратным и программным обеспечением. Это важная составляющая ITIL — позволяет выявить проблемные участки инфраструктуры ИТ, оценить эффективность работы отдела ИТ.
Рівні забезпечення безпеки інформаційної системи можна розділити за орієнтацією на людський фактор. Відповідно можна виділити адміністративний і процедурний рівні забезпечення.
Розглянемо адміністративний рівень забезпечення безпеки інформаційної системи.
До адміністративного рівня інформаційної безпеки відносяться дії загального характеру, що вживають керівництвом організації.
Головне завдання заходів адміністративного рівня — сформувати програму робіт в галузі інформаційної безпеки й забезпечити її виконання, виділяючи необхідні ресурси й контролюючи стан справ.
Основою програми є політика безпеки, що відображає підхід організації до захисту своїх інформаційних активів. Керівництво кожної організації повинне усвідомити необхідність підтримки режиму безпеки й виділення з цією метою значних ресурсів.
Політика безпеки ґрунтується на основі аналізу ризиків, які є реальними для інформаційної системи організації. Коли ризики проаналізовані й стратегія захисту визначена, складається програма забезпечення інформаційної безпеки. Під цю програму виділяються ресурси, призначаються відповідальні, визначається порядок контролю виконання програми тощо.
Інформаційна система організації й пов'язані з нею інтереси суб'єктів — це складна система, для розгляду якої необхідно застосовувати об’єктно-орієнтований підхід і поняття рівня деталізації.
Із практичної точки зору політику безпеки доцільно розглядати на трьох рівнях деталізації. До верхнього рівня можна віднести рішення, що стосуються організації в цілому. Вони носять досить загальний характер й, як правило, відходять від керівництва організації. Зразковий список подібних рішень може містити в собі наступні елементи:
• рішення сформувати або переглянути комплексну програму забезпечення інформаційної безпеки, призначення відповідальних за просування програми;
• формулювання цілей, які переслідує організація в галузі інформаційної безпеки, визначення загальних напрямків у досягненні цих цілей;
• забезпечення бази для дотримання законів і правил;
• формулювання адміністративних рішень з тих питань реалізації програми безпеки, які повинні розглядатися на рівні організації в цілому.
Для політики верхнього рівня завдання організації в галузі інформаційної безпеки формулюються в термінах цілісності, доступності й конфіденційності. Якщо організація відповідає за підтримку критично важливих баз даних, на першому плані може стояти зменшення числа втрат, пошкоджень або перекручувань даних. Для організації, що займається, наприклад, продажем комп'ютерної техніки, імовірно, важлива актуальність інформації про надавані послуги й ціни і її доступність максимальному числу потенційних покупців. Керівництво режимного підприємства, в першу чергу, піклується про захист від несанкціонованого доступу, тобто про конфіденційність.
На верхній рівень виноситься керування захисними ресурсами й координація використання цих ресурсів, виділення спеціального персоналу для захисту критично важливих систем і взаємодія з іншими організаціями, що забезпечують або контролюють режим безпеки.
Політика верхнього рівня повинна чітко окреслювати сферу свого впливу. Можливо, це будуть всі комп'ютерні системи організації (або навіть більше, якщо політика регламентує деякі аспекти використання співробітниками своїх домашніх комп'ютерів). Можлива, однак, і така ситуація, коли в сферу впливу включаються лише найбільш важливі системи.
У політиці повинні бути визначені обов'язки посадових осіб з вироблення програми безпеки й реалізації її в життя. У цьому сенсі політика безпеки є основою підзвітності персоналу.
До середнього рівня можна віднести питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних експлуатованих організацією систем. Приклади таких питань — відношення до передового (але, можливо, недостатньо перевіреним) технологіям, доступ в Internet, використання домашніх комп'ютерів, застосування користувачами неофіційного програмного забезпечення й т.д.
Політика середнього рівня повинна для кожного аспекту висвітлювати наступні теми:
Опис аспекту. Наприклад, якщо розглянути застосування користувачами неофіційного програмного забезпечення, останнє можна визначити як програмне забезпечення, що не було схвалено й/або закуплене на рівні організації.
Сфера застосування. Варто визначити, де, коли, як, стосовно кого й чому застосовується дана політика безпеки. Наприклад, чи стосується політика, пов'язана з використанням неліцензійного програмного забезпечення, організацій-субпідрядників? Чи стосується вона співробітників, що користуються портативними й домашніми комп'ютерами й вимушених переносити інформацію на виробничі машини?
Позиція організації з даного аспекту. Продовжуючи приклад з неофіційним програмним забезпеченням, можна уявити собі позиції повної заборони, вироблення процедури приймання подібного програмного забезпечення й т.п. Позиція може бути сформульована й у більш узагальненому вигляді, як набір цілей, які переслідує організація в даному аспекті. Взагалі стиль документів, що визначають політику безпеки (як й їхній перелік), у різних організаціях може сильно відрізнятися.
Політика безпеки нижнього рівня стосується конкретних інформаційних сервісів. Вона містить у собі два аспекти — завдання й правила їх реалізації, тому її часом важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, розглянута політика повинна бути визначена більш докладно. Є багато речей, специфічних для окремих видів послуг, які не можна єдиним чином регламентувати в рамках всієї організації. У той же час, ці речі настільки важливі для забезпечення режиму безпеки, що рішення, які їх стосуються, повинні прийматися на управлінському, а не технічному рівні.
При формулюванні цілей політики нижнього рівня можна виходити з міркувань цілісності, доступності й конфіденційності, але не можна на цьому зупинятися. Її завдання повинні бути конкретнішими. Наприклад, якщо мова йде про систему розрахунку заробітної плати, можна поставити завдання, щоб тільки співробітникам відділу кадрів і бухгалтерії дозволялося вводити й модифікувати інформацію. У більш загальному випадку завдання повинні зв'язувати між собою об'єкти сервісу й дії з ними.
Із цілей виводяться правила безпеки, що описують, хто, що й при яких умовах може робити. Чим докладніші правила, тим більш формально вони викладені, тим простіше підтримати їхнє виконання програмно-технічними засобами. З іншого боку, занадто тверді правила можуть заважати роботі користувачів, імовірно, їх доведеться часто переглядати. Керівництвом має бути знайдений розумний компроміс, коли за прийнятну ціну буде забезпечений прийнятний рівень безпеки, а співробітники не опиняться надмірно зв'язаними.
ITIL / MOF / MSF, Информационная безопасность, Менеджмент, Публикации
В новой версии ITIL сосредотачивается главным образом на ИТ-стратегии в рамках организации и постоянном улучшении. Основной акцент в новых книгах на том, что одиночные процессы не достаточно гарантируют успех Бизнесу. Больше всего они эффективны, если полностью охватывают стратегию Бизнеса и напрямую взаимосвязаны с его результатами. В новых книгах жизненный цикл показывает, как это может быть достигнуто.
В книге ITIL по предоставлению услуг (Service Delivery) описаны требования, необходимые для оказания IT-услуг, и рассмотрены следующие процессы управления IT-услугами:
* управление уровнем услуг;
Изучение лучших практик, описанных в книгах библиотеки ITIL, помогает IT-менеджерам, ITспециалистам и IT-директорампонять методы и процессы, с помощью которых можно повысить качество IT-услуг (то есть предоставлять IT-сервисы в соответствии с требованиями бизнеса и потребностями каждого пользователя), предоставляемых IT-подразделением или внешним поставщиком IT-услуг, и применить их на практике.
Процессы ITIL внедрены сегодня многими крупными предприятиями, при этом представители ряда из них заявляют о том, что в целом подобное внедрение позволило существенно снизить затраты на информационные технологии (известны заявления компаний об экономии до 10% годового бюджета всего предприятия), повысить эффективность функционирования других подразделений, а также вывести предприятие на более высокий уровень взаимоотношений с клиентами. Внедрение процессов ITIL может осуществляться как самостоятельно, так и силами сторонних исполнителей — подобные услуги сейчас предлагаются многими компаниями, работающими в области внедрения процессного подхода и IT-консалтинга.
