Автор работы: Пользователь скрыл имя, 11 Ноября 2015 в 13:55, реферат
Стандарт построения эффективной системы безопасности ISO 13335, созданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского института стандартов, описывает комплексный подход к управлению информационной безопасностью.
Организационная структура службы ИТ определяет состав подразделений, распределение между ними функций и задач. Служба ИТ должна обеспечивать разработку, ввод в действие и эксплуатацию информационной системы посредством координированных действий, которые обеспечивают непрерывность функционирования существующей системы в соответствии с согласованными правилами и процедурами на протяжении жизненного цикла ИТ.
ИТ-проекты представляют собой проекты внедрения новых информационных систем, а также модернизацию существующих. При этом модернизация (изменения, дополнения) рассматривается как результат действий, выполненных по запросу и относящихся к функциональным или нефункциональным требованиям, которые не были специфицированы изначально, при разработке и внедрении системы.
В настоящее время бизнес характеризуется высокой динамикой (слияния, поглощения, смена стратегических целей). Это обуславливает тот факт, что информационные системы предприятий находятся в условиях постоянных изменений, вызванных следующими факторами:
Кроме того, современное состояние бизнеса в отношении информационных технологий характеризуется достаточно жестким контролем инвестиций, выделяемых на ИТ, и возросшими требованиями к ИТ со стороны бизнеса. С учетом этого, на первый план выходят требования к информационным системам, которые определяют систему информационного менеджмента, способную видоизменять ИТ предприятия или организации синхронно с изменением бизнеса. В соответствии с этими требованиями основная роль ИТ на предприятии определяется как информационное обслуживание её подразделений с целью повышения эффективности бизнеса. Информационное обслуживание бизнеса состоит в предоставлении информационных сервисов (ИТ-сервисов) заданного качества подразделениям предприятия.
4. Информационная система предприятия предназначена для информационной поддержки бизнес-процессов.
В наши дни основой успешного бизнеса является бесперебойное функционирование информационных систем, обеспечивающих конкурентоспособность и прибыльность компании Основная задача службы ИС - обеспечение бизнес-процессов информационным обслуживанием заданного качества с использованием соответствующих информационных технологий. Поддержка информационных процессов осуществляется посредством ИТ-сервисов с заданными характеристиками.
Служба ИС предприятия, как правило, организует свою работу по четырем функциональным направлениям:
В рамках направления "Планирование и организация" решаются задачи разработки стратегии в области ИТ, координации развития ИТ организации, планирования ресурсов службы ИС (бюджет, человеческие ресурсы, внешние услуги и др.), управления рисками, управления качеством.
Основной задачей направления "Разработка, приобретение и внедрение" - внедрение новых ИС.
Функциональное направление "Предоставление и сопровождение сервиса ИТ" обеспечивает формализацию требований подразделений-заказчиков к ИТ-сервисам, согласование требований к сервисам с соответствующими ресурсами службы ИС и предоставление конечным пользователям сервисов ИТ, соответствующих согласованным требованиям.
Основная задача направления "Мониторинг" - аудит процессов службы ИС.
Организационная структура службы ИС зависит от многих факторов:
Этот перечень отнюдь не исчерпывающий, в него входят и другие факторы, например состав используемых в организации ИС.
5. ИТ-сервис в корпоративной среде – это ИТ-услуга, которую ИТ-подразделение (департамент, отдел, служба) или внешний провайдер предоставляет бизнес - подразделениям предприятия для поддержки их бизнес-процессов.
Примерами корпоративных ИТ-сервисов могут быть электронная почта, сетевая инфраструктура, системы хранения данных, бизнес-приложения (начисление заработной платы, формирование счетов), бизнес-функции (списание/начисление денежных средств на счете клиента).
Набор ИТ-сервисов, необходимых организации, индивидуален и в значительной степени зависит от отрасли, размеров организации, уровня автоматизации, квалификации персонала, стратегии развития и т. п. Корпоративные ИТ-сервисы можно разбить на три большие группы:
В общем случае ИТ-сервис характеризуется рядом параметров :
Функциональность определяет решаемую задачу (информатизацию бизнес -операции, бизнес-функции, бизнес-процесса) и предметную область её использования.
Время обслуживания определяет период времени, в течение которого ИТ-подразделение поддерживает данный сервис, т.е. несет ответственность за его непрерывное функционирование. Время обслуживания измеряется долей суток и долей календарной недели, в течение которых ИТ-подразделение поддерживает ИТ-сервис. Например, время обслуживания 24×7 означает, что ИТ-сервис поддерживается 24 часа в сутки 7 дней в неделю, 5×8 - 5 дней в неделю по рабочим дням по 8 часов в день, т.е. в течение рабочего дня.
Доступность определяет долю согласованного времени обслуживания, которая измеряется в процентах, и характеризует в течение какого времени ИТ-сервис доступен; Например, доступность 95% при согласованном времени обслуживания 8×5 означает, что сервис простаивает 2 часа в неделю (5% от 40 часов).
Надежность определяется средним временем наработки на отказ ИТ-сервиса, т.е. средним периодом времени между двумя сбоями в предоставлении ИТ-сервиса. Например, если в условиях предыдущего примера (время обслуживания 8×5, доступность 95%) в неделю в среднем происходит два сбоя ИТ-сервиса, среднее время наработки на отказ составляет 19 часов.
Производительность характеризует способность информационной системы соответствовать требованиям своевременности. Для различных ИТ-сервисов показателями производительности могут быть время реакции (время выполнения бизнес-транзакции) или пропускная способность системы. Например, при задании времени реакции системы пользователь может потребовать чтобы время проводки по счету клиента было не более 5 сек., а при задании производительности – количество транзакций по счету клиента было не менее 20 в течении 1 часа т.е. 20 транзакции/ч. Для задания производительности ИТ-сервиса следует использовать бизнес-операции (бизнес-функции), существенные для конечного пользователя, - ввод документов, подготовку отчетов и т.д.
Конфиденциальность определяет вероятность несанкционированного доступа к данным и/или их несанкционированное изменение. Количественные измерения данного показателя обычно не проводятся. Вместо этого ИС, обеспечивающие ИТ-сервис, классифицируются по степени конфиденциальности. Принадлежность ИС к тому или иному классу подтверждается независимой сертификацией. Конфиденциальность ИТ-сервиса в целом определяется классом безопасности наиболее слабой из обеспечивающих сервис ИС, а также корректируется с учетом качества инструкций для конечных пользователей и их обучения.
Масштаб характеризует объем и сложность работ по поддержке ИТ-сервиса. Единого измерителя масштаба не существует, к его показателям относятся число рабочих мест, количество удаленных сайтов, сложность используемых приложений и т.п.
Затраты - стоимость всей совокупности ресурсов, вовлеченных в сопровождение ИТ-сервиса, а также потерь от простоев ИТ-сервиса. В ресурсы включаются стоимость оборудования, ПО, используемых ресурсов СКС и каналов связи, внешних услуг, заработная плата сотрудников организации (включая связанные с ней расходы) и т.д.
Параметры сервиса определяются не только свойствами ИС, которые его обеспечивают. Существенное значение имеет качество работы самой службы ИС, а также уровень регламентации деятельности службы ИС и конечных пользователей ИТ-сервисов.
Важным фактором эффективности деятельности службы ИС является инструментальная поддержка автоматизации процессов управления информационными технологиями предприятия, которая в значительной степени может способствовать снижению затрат на управление и мониторинг ИС с целью предоставления ИТ-сервисов требуемого качества.
Информация о работе Стандарт Управления Безопасностью ISO 13335