1 задание. Вадим Алджанов итархитектура от а до Я Теоретические основы. Первое

Процесс должен включать в себя:
•формирование, управление, распространение и соблюдение Политики информационной безопасности и других вспомогательных политик, которые имеют отношение к информационной безопасности. Политика информационной безопасности (Security Policy) – политика, определяющая подход организации к управлению информационной безопасностью.
•понимание согласованных текущих и будущих требований бизнеса к безопасности;
•использование контролей безопасности для выполнения Политики информационной безопасности и управления рисками, связанными с доступом к информации, системам и услугам.
В данном контексте контроль безопасности означает набор контрмер и мер предосторожности, применяемых для аннулирования, уменьшения рисков и противостояния им.
•про активное улучшение контролей безопасности и уменьшение рисков нарушения информационной безопасности;
•интеграция аспектов информационной безопасности во все процессы Управления услуг.
Политика информационной безопасности должна включать в себя следующее:
•реализация аспектов Политики информационной безопасности;
•возможные злоупотребления аспектами Политики информационной безопасности;
•политика контроля доступа;
•политика использования паролей;
•политика электронной почты;
•политика интернета;
•политика антивирусной защиты;
•политика классификации информации;
•политика классификации документов;
•политика удаленного доступа;
Перечисленные политики должны быть доступны пользователям и заказчикам, которые в свою очередь обязаны письменно подтвердить свое согласие с ними.
Политики утверждаются руководством бизнеса и IT и пересматриваются в зависимости от обстоятельств.
Пять элементов процесса управления Информационной Безопасностью:
•Контроль.
•Планирование.
•Реализация
•Оценка.
•Поддержка.
Контроль. Цели контроля:
•формирование системы управления информационной безопасностью в рамках организации;
•формирование организационной структуры для подготовки, утверждения и реализации
Политики информационной безопасности;
•распределение ответственностей;
•формирование документации по контролю.
Планирование. Цель планирования – разработать и рекомендовать подходящие метрики и способы измерения информационной безопасности. В первую очередь планирование должно учитывать требования и особенности конкретной организации. Источниками информации для формирования требований к информационной безопасности являются бизнес, риски, планы, стратегия, соглашения (в первую очередь OLA и SLA). При этом важно учитывать моральную, законодательную и этическую ответственности в контексте информационной безопасности.
Реализация. Цель реализации – обеспечение подходящих процедур, инструментов и контролей безопасности для поддержки Политики информационной безопасности. В рамках реализации проводятся следующие мероприятия:
•идентификация активов;

•классификация информации
Оценка. Цель оценки:
•проверка соответствия политики информационной безопасности требованиям к информационной безопасности из SLA и OLA;
•проведение регулярных проверок технической составляющей информационной безопасности для IT систем;
•предоставление информации для регуляторов и внешних аудиторов при необходимости;
Поддержка. Цели поддержки:
•улучшение соглашений в отношении информационной безопасности, например, SLA и OLA
•совершенствование средств и контролей информационной безопасности.
Входами процесса являются:
•информация от бизнеса – стратегии, планы, бюджет бизнеса, а также его текущие и будущие требования;
•информация от IT – стратегия, планы и бюджет IT;
•информация об услугах
•отчеты процессов и анализа рисков
•детальная информация обо всех инцидентах информационной безопасности и «брешах» в ней;
•информация об изменениях
•информация о взаимоотношениях бизнеса с услугами
•ИТ архитектура
Выходами процесса являются:
•всеобъемлющая Политика информационной безопасности и другие вспомогательные политики, которые имеют отношение к информационной безопасности;

•Система управления информационной безопасностью (ISMS), которая содержит всю информацию, необходимую для обеспечения ISM;
•набор контролей безопасности, описание их эксплуатации и управления, а также всех связанных с ними рисков;
•аудиты информационной безопасности и отчеты;
•расписание тестирования планов информационной безопасности;
•классификация информационных активов;
•Политики, процедуры и стандарты по вопросам Информационной Безопасности
Участники процесса обсуждения и принятия решений:
ИТ комитет,
ИТ директор
ИТ архитектор
Руководители ИТ подразделений
Экспертная группа
Представители бизнеса
Представители комитета управления рисками
Представители департамента Безопасности
Представители департамента внутреннего аудита
В качестве ключевых показателей производительности процесса
Управления информационной безопасностью можно использовать множество метрик:
•защищенность бизнеса от нарушений информационной безопасности
•процентное уменьшение сообщений о «брешах»
•процентное увеличение пунктов, касающихся информационной безопасности, в SLA.
•формирование четкой и согласованной политики информационной безопасности, учитывающей потребности бизнеса, то есть уменьшение количества несовпадений между процессами ISM и процессами, и политиками информационной безопасности бизнеса.
•увеличение согласованности и пригодности процедур обеспечения безопасности;
•увеличение поддержки со стороны руководства
Критерии результативности – (KGI)
Критерии эффективности – (KPI)
Количество инцидентов ИБ
Количество обнаруженных атак
Количество обнаруженных проникновений
Количество нарушений политики паролей
Количество не авторизованных изменений
Процент простоя в связи с инцидентами ИБ
Процент спама
Процент систем, защищенных антивирусом
Процент инцидентов ИБ
Процент ложных срабатываний
Повторные инциденты ИБ
Изменения устраняющие инциденты ИБ
Уровень сотрудников в сфере ИБ
Время между обнаружением и устранением

Механизмы улучшения:
•количество предложенных улучшений в отношении контролей и процедур;
•уменьшение количества несовпадений, обнаруженных в процессе тестирования и аудита.
Ключевые моменты процесса:
•Департамент Безопасности является владельцем процесса
•ИТ департамент управляет ИТ компонентами Информационной Безопасности
Информационная безопасность является неотъемлемой частью услуг и процессов ITSM, то есть увеличение количества услуг и процессов, в которых предусмотрены меры безопасности.
Управление Поставщиками (Supplier Management SUM)
Управление поставщиками (Supplier Management) – процесс, ответственный за обеспечение того, что договоры с поставщиками соответствуют требованиям бизнеса, и все поставщики выполняют свои контрактные обязательства. Процесс Управление поставщиками следит за тем, чтобы поставщики выполняли свои обязательства по контрактам – достигали целевых показателей в оговоренные сроки.
Данный процесс отвечает на такие вопросы как:
•Формирование процесса взаимодействия с поставщиками
•Формирование процесса закупки, поставки, сопровождения и т п ИТ активов
•получение ценности за потраченные бизнесом деньги;
•обеспечение того, что все основополагающие контракты и соглашения с поставщиками соответствуют требованиям бизнеса, требованиям SLA и SLR;
•управление взаимоотношениями с поставщиками;
Важно понимать некоторые различия в терминологии. Так имеется две категории: сервис провайдер (Service Provider) и поставщик (supplier)
Провайдеры сервиса – организационная единица, предоставляющая тот или иной сервис.
Различают:
•Внутренний сервис провайдер – предоставляет сервис и включен в состав бизнеса. Как пример ИТ служба в компании.
•Совместный сервис провайдер – предоставляет сервисы различным бизнес юнитам. Как пример ИТ департамент компании.
•Внешний сервис провайдер – предоставляет сервисы различным клиентам. Как пример интернет провайдер.
Поставщик (Supplier) – третья сторона, ответственная за поставку товаров или услуг, необходимых для предоставления ИТ-услуг.
Понятия в некоторой степени пересекаются и как пример внешний сервис провайдер может является поставщиком ИТ услуги для компании.
Типы поставщиков ИТ услуг можно условно разбить на три категории:
ТИП 1 – Бизнес Единица (Business Unit BU) – сегмент бизнеса, который имеет свои собственные метрики, планы, доходы и расходы. Каждая бизнес-единица владеет и управляет активами, которые использует для создания товаров и услуг с определенной ценностью.

Основной целью поставщиков услуг первого типа является обеспечение функциональной целостности и эффективности бизнес-единицы, за которой они закреплены. Другими словами, они предоставляют IT-услуги для удовлетворения узкого круга потребностей бизнеса. Основным недостатком является:
•фактически, развитие поставщика услуг ограничено возможным развитием бизнес-единицы, за которой он закреплен.
•решения принимает руководство организации, также является своего рода недостатком, так как зачастую оно не разбирается в технических тонкостях IT-области.
Из плюсов:
•бизнес не сталкивается с проблемами, возникающими во время взаимодействия с внешними поставщиками услуг.
•не сталкивается со сложностями свободного рынка.
Ввиду перечисленных особенностей поставщики услуг первого типа больше подходят для бизнеса, где ИТ лежит в основе конкурентного преимущества, и, следовательно, требует тщательного контроля непосредственно со стороны руководства организации.
ТИП 2 – Общий Поставщик Услуг (Service Shared Unit SSU) – объединение деловых функций, такие как финансовое управление, IT, управление персоналом и логистика, которые не всегда являются основой конкурентного преимущества. Отсюда руководителю организации и топ-менеджерам не обязательно контролировать и управлять ими.
Преимущества:
•Возможность создавать, развивать и поддерживать внутренний рынок сбыта своих услуг аналогично поставщикам, которые работают на свободном рынке.
•использование возможности корпорации.
•получают преимущества от относительно закрытого рынка.

ТИП 3 – Бизнес Единица (Business Unit) – Внешние поставщики услуг находятся вне организационной структуры своих заказчиков, в отличие от предыдущих двух типов.
Поставщики услуг третьего типа обладают большим практическим опытом ввиду обслуживания различных заказчиков и областей рынка. Часто организации гораздо выгоднее обратиться к внешнему поставщику, чем владеть и управлять всеми активами, которые нужны для самостоятельной реализации услуги.
Деятельность по процессу Управления поставщиками включает в себя:
•формирование и соблюдение политики работы с поставщиками;
•формирование Базы поставщиков и договоров, управление ею;
•категоризация поставщиков и контрактов, оценка рисков;
•оценка и выбор поставщиков и контрактов;
•ведение переговоров и заключение контрактов и соглашений;
•Оценка новых поставщиков и контрактов
Центральным репозитарием для хранения информации является База поставщиков и договоров. База поставщиков и договоров (Supplier and Contract Database или SCD) – база данных или структурированный документ, используемый для управления договорами поставщиков на протяжении всего их жизненного цикла. SCD содержит ключевые атрибуты всех договоров с поставщиками. SCD должна включать следующее:
•категорирование поставщиков
•поиск и оценка новых поставщиков
•установление взаимоотношений с новыми поставщиками
•управление контрактами
•обновление и завершение контрактов

Оценка новых поставщиков и контрактов
При выборе поставщиков услуг необходимо учитывать множество факторов, в частности предыдущие достижения и текущие возможности поставщика, а также отзывы о нем других организаций. Более того, в зависимости от типа взаимоотношений с поставщиками, может появиться множество других ключевых факторов для выбора.
Услуга может поддерживаться одним или несколькими поставщиками. При этом многие отношения с поставщиками могут характеризоваться как партнерские. То есть в настоящее время организации отходят от традиционного иерархического построения отношений с поставщиками, в которых поставщики всегда зависели от своих заказчиков. Отношения с поставщиками характеризуются следующим:
•ориентация на стратегию – отношения выстраиваются в соответствии с культурой, ценностями и целями бизнеса, то есть в соответствии с его стратегией;
•интеграция – тесная интеграция процессов двух организаций;
•информационный поток – хорошо налаженный обмен информацией между процессами двух организаций;
•взаимное доверие – взаимное доверие между организациями;
•открытость – открытость в отношении производительности услуг, затрат и анализа рисков;
•коллективная ответственность – команды, объединяющие сотрудников двух организаций, несут ответственность за текущую производительность и развитие сотрудничества в будущем;
•общие риски и премии – соглашение о том, как будут распределены выгоды и сопутствующие риски.

Подход к выбору поставщиков должен быть формализован. Он должен быть основан на таких факторах как значение услуги, предоставляемой поставщиком, риски и стоимость.
Обязательным является проведение Анализа рисков перед заключением какого-либо соглашения. Анализ рисков должен рассмотреть все возможные риски: финансовые, потери репутации, операционные, правовые и т. п.
Обязательные части базового контракта:
•основные условия и сроки – срок, на который заключается контракт, стороны, которые его заключают, охват, определения и коммерческий базис;
•описание услуг – функциональность, предоставляемая услугами, их производительность, доступность, безопасность и т. п., а также ограничения, влияющие на производительность услуг и их предоставление;
•нормы для услуг – метрики и способы измерения услуг, минимальные уровни производительности и качества. Обозначенные уровни должны быть четкими, достижимыми и измеряемыми, соответствовать приоритетам бизнеса и поддерживать целевые уровни SLA и SLR;
•производственная нагрузка – объемы производства, к которым применимы нормы для услуг и отдельные границы ценового диапазона;
•управленческая информация – информация, которую должен предоставить поставщик об операционной производительности. Необходимо, чтобы взаимоотношения строились на наиболее значимых метриках производительности услуг;
•ответственности и зависимости – описание обязанностей организации и поставщика.
Категорирование поставщиков и управление SCD
Процесс управления поставщиками должен быть адаптивным и уделять больше времени и внимания наиболее важным для организации поставщикам. Для этого необходимо расставить

приоритеты между поставщиками, то есть категорировать их. Лучше всего при этом оценить вклад поставщика, предоставляемую им ценность для бизнеса и риски, которые к нему относятся.
В соответствии с этим можно предложить следующие категории:
•стратегические поставщики
•тактические поставщики
•операционные поставщики
•товарные поставщики
Стратегические поставщики – взаимоотношения с такими поставщиками управляются на уровне руководства организации. Формируются долгосрочные контракты, и происходит обмен конфиденциальной информацией.
Тактические поставщики – взаимоотношения с такими поставщиками управляются на уровне менеджеров среднего звена. К тактическим поставщикам относятся те, кто вносит значимый коммерческий вклад и имеет тесные связи с бизнесом.
Операционные поставщики – поставщики, предоставляющие операционные услуги и продукты. Взаимоотношения с такими поставщиками управляются менеджерами нижнего уровня и включают в себя нечастые, но регулярные контакты и обзоры производительности.
Товарные поставщики – поставщики, предоставляющие продукты с низкой ценностью или поставщики, услуги и продукты которых могут быть легко заменены альтернативами, предлагаемыми другими участниками рынка.
Входами процесса Управления поставщиками являются:
•информация от бизнеса – стратегии, планы, бюджет бизнеса, а также его текущие и будущие требования;
•стратегии и планы поставщиков
•информация о производительности поставщиков
•финансовая информация
•информация об услугах
Выходами процесса Управления поставщиками являются:
•отчеты о производительности поставщиков и контрактов – эта информация используется на обзорных встречах для отображения качества услуг, предоставляемых поставщиками и контрактами;
Участники процесса:
•Менеджер по поставкам
Ключевые моменты процесса:
•Наличие Базы Данных Поставщиков и Контрактов (Suppliers and Contracts Database)
•Департамент Снабжения и логистики является владельцем процесса
В качестве ключевых показателей эффективности могут выступать:
•защищенность бизнеса от плохой производительности поставщиков или сбоев в обеспечении:
•увеличение количества поставщиков, выполняющих требования контрактов;

•уменьшение количества нарушений контрактов;
Доверит ли заказчик определенную деловую активность внешним поставщикам или внутренним, зависит от ответа на следующие вопросы:
•Требует ли деловая активность специфических активов?
•Как часто используется деловая активность в бизнес-цикле?
•Насколько сложна деловая активность?
•Сложно ли определить высокий уровень производительности?
•Сложно ли измерить уровень производительности?
•Насколько тесно она связана с другими активностями и активами бизнеса?
•Ее отделение вызовет много проблем и увеличит сложность бизнес-процессов?
В зависимости от ответов на эти вопросы заказчики выбирают тип поставщика услуг.
Основными рисками для Управления поставщиками являются недостаточность информации, плохо налаженный обмен информацией между поставщиками и бизнесом, некорректные или невыполнимые цели, нехватка ресурсов и финансового обеспечения.