2 Этап. Выбор и реализация эффективных и экономичных защитных мер.

Шаг 1. Разработка стратегии защиты информации.

Шаг 2. Оценка, выбор средств защиты.

Шаг 3. Реализация защитных мер.

Шаг 4. Проверка выбранных мер и оценка остаточного риска (если неприемлем остаточный риск, то провести повторный сеанс управления рисками).

47. Организация и управление проектом на всех стадиях жизненного цикла информационной системы. Управление жизненным циклом информационной системы.Модели жизненного цикла, особенности применения в ИТ-проектах. Управление изменениями.

48. Управление информационными системами организации: референсные модели и передовые практики управления службой ис (Cobit, itil, itsm).

ИТ-инфраструктура предприятия – это комплекс систем, состоящий из набора специализированного программного обеспечения, сетевых служб, службы каталога, политик информационной безопасности, систем резервного копирования и хранения данных, средств спам-защиты и т.д. В совокупности комплекс систем определяет доступность бизнес-приложений для сотрудников предприятия и возможности роста бизнеса.

CobiT (сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий») — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — все то, что так или иначе имело отношение к целям управления.

Задача CobiT заключается в ликвидации разрыва между руководством компании с их видением бизнес-целей и IT-департаментом, осуществляющим поддержку информационной инфраструктуры, которая должна способствовать достижению этих целей.

Нередко руководство компании в силу объективных причин не понимает IT-специалистов. По представлению руководства, сотрудники IT-подразделения разговаривают на каком-то птичьем языке. Те, в свою очередь, не понимают бизнес-терминов, на основании которых строятся распоряжения руководства. Это все приводит к росту издержек, выполнению лишней работы, что, конечно же, сказывается на эффективности деятельности компании.

CobiT, благодаря единой терминологии, служит своеобразной платформой-буфером для конструктивного диалога между всеми участниками бизнеса:

• топ-менеджерами;

• руководителями среднего звена (IT-директором, начальниками отделов);

• непосредственными исполнителями (инженерами, программистами и т. д.);

• аудиторами.

Ключевые области управления ИТ согласно CobIT

Для участия в достижении стратегических целей предприятия необходимо сконцентрировать свое внимание на пяти ключевых областях:

CobIT предлагает рассмотреть такую схему стратегического соответствия.

Любая инициатива организации в сфере бизнеса может быть представлена как бизнес цель для ИТ. Несмотря на то что, что CobIT рекомендует использовать систему сбалансированных показателей, предложенную Нортоном и Капланом, использовать рекомендуемый набор показателей достаточно сложно.

Общая схема CobIT

Ориентированный на процессы подход можно изобразить как 34 процесса, сгруппированные в четыре домена (планирование, построение, выполнения и контроля) обеспечивающие комплексное видение ИТ в целом.

Эксплуатация и сопровождение.

Часто на крупных предприятиях внедрена система система менеджмента качества (СМК) и процессы ИТ (если включены в СМК) должны соответствовать требованиям ISO 9001(стандарты серии ISO 9000 полностью соответствуют ITIL).

ITIL(произносится как «айти́л», англ.ITInfrastructureLibrary — библиотека инфраструктуры информационных технологий) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области информационных технологий.

В семи томах библиотеки описан весь набор процессов, необходимых для того, чтобы обеспечить постоянное высокое качество ИТ-сервисов и повысить степень удовлетворенности пользователей.

Аудит по ISO 9001 обычно затрагивает раздел эксплуатации и сопровождения инфраструктуры (технические и программные средства), влияющие на результат бизнес деятельности предприятия.

Входы

Бизнес - требования к сервисам и бизнес - приложениям являются входной информацией для организации и непрерывного улучшения процессов ИТ и удовлетворенности потребителей.

Выходы

Результатом работы процессов ИТ являются сервисы и приложения, обеспечивающие работу всех автоматизированных бизнес - процессов компании.

ISO 9001. Организация вправе передать выполнения своих процессов ИТ и привлекать ресурсы сторонних организаций. В случае, если процесс входит в систему менеджмента качества предприятия и влияет на выпуск продукции, то организация обязана организовать управление таким процессом.

В то время, как CobIT является лучшей практикой управления и контроля, лучшей практикой организации процессов, связанных с инфраструктурой и сфокусированная на предоставление услуг является концепция ITSM библиотеки ITIL. Структурно ITSM представляет совокупность 10 основных процессов, описанных в томах ServiceSupport и ServiceDelivery

Процесс CobIT		Процесс ITSM	Описание процесса
DS1	Определение и управление уровнем обслуживания	Управление уровнем услуг	Разработка и поддержка каталога услуг в актуальном состоянии. Разработка и ввод соглашения об уровне услуг на основании требований заказчика, согласование целевых показателей уровня услуг, разъяснение причин нарушений,  инициация корректирующих действий
DS2	Управление услугами сторонних организаций	Управление отношениями с подрядчиками	Управление договорами и контрактами для обеспечения целостности оказываемых услуг
DS3	Управление производительностью и мощностями	Управление мощностями	План мощностей включает сбор данных о ресурсах, инициация изменений для гарантирования заказчику, что он всегда будет иметь  достаточный запас мощностей для текущих и будущих потребностей
DS4	Обеспечение непрерывности ИТ сервисов	Управление непрерывностью и доступностью	Гарантирование, что согласованные с заказчиком обязательства будут выполнены при любых обстоятельствах.  Тестирование непрерывности услуг.
DS5	Обеспечение безопасности систем	Управление информационной безопасностью	Защита корпоративной информации и инфраструктуры от несанкционированного доступа. Анализ рисков.
DS6	Определение и распределение затрат	Бюджетирование и учет затрат	Определение и контроль реальной стоимости сервисов, прогнозирование выручки и затрат. Учет отклонений от бюджета.
DS7	Обучение и подготовка пользователей		Необходимо проведение тренингов и регулярное информирование пользователей о вопросах безопасности.
DS8	Управление службой технической поддержки и инцидентами	Управление инцидентами	Быстрое восстановление работоспособности услуги в случае возникновения инцидентов. Обрабатывает звонки пользователей, регистрирует, расставляет приоритеты.
DS9	Управление конфигурацией	Управление конфигурациями	Регистрация и контроль всех данных от инфраструктуре (системы, сетевые устройства, сервера, оборудование и пр)
DS10	Управление проблемами	Управление проблемами	Упреждение, позволяющее выявить корневые причины сбоев и предотвратить их, оценка и контроль известных ошибок
DS11	Управление данными		Процедуры резервного копирования и восстановления и их регулярное тестирование.
DS12	Управление безопасностью и защитой от воздействия окружающей среды		Эффективность систем бесперебойного питания (дата-центров, серверных комнат и т.п.).
DS13	Управление операциями по эксплуатации систем	Управление операциями

Мониторинг и анализ.

Эффективное управление процессами ИТ требует мониторинга. Данный процесс включает в себя определение индикаторов, позволяющих быть уверенным, что все делается правильно в соответствии с принятыми направлениями и политиками.

Объекты мониторинга	Обязательные требованияISO 9001	ТребованияCobIT	РекомендацииITIL
Мониторинг технологического развития		+
Мониторинг ИТ проектов		+
Мониторинг ИТ рисков		+
Мониторинг соответствия целям качества	+	+
Мониторинг и отчетность по SLA		+	+
Мониторинг  услуг			+
Мониторинг услуг поставщиков		+	+
Мониторинг удовлетворенности заказчиков услуг	+		+
Мониторинг инцидентов			+
Мониторинг потенциальных инцидентов в сфере безопасности		+	+
Мониторинг инфраструктуры и обработки разрешения проблем		+	+
Мониторинг доступности производительности и мощностей ИТ ресурсов		+	+