Управление изменениями регистрирует все существенные изменения в среде ИТ предприятия, разрешает изменения, составляет график работ по изменениям и организует взаимодействие ресурсов, всесторонне оценивает воздействие изменения на среду ИТ и связанные с ним риски. С этой целью осуществляется взаимодействие со всеми процедурами, предусмотренными стандартом ITSM.
Основная задача данного процесса – недопущение необоснованных, непродуманных или потенциально рискованных изменений. Для этого каждое изменение конфигурации ИС предприятия в обязательном порядке оформляется запросом на изменение и проходит стандартную процедуру одобрения изменения. В зависимости от масштаба изменения решение принимается на уровне менеджера процесса, комитета по одобрению изменений в рамках ИС, органов управления предприятием. Наряду с этим ограничивается круг процессов, в рамках которых могут создаваться запросы на изменения – в ITSM это процесс планирования услуг (сервисов) как основной источник изменений и процесс управления проблемами как возможный источник изменений (изменения здесь могут вводиться для решения проблем). Конечный результат процесса – набор изменений, согласованных друг с другом и с существующей конфигурацией ИС и не нарушающих функционирования уже существующих сервисов. Все изменения в обязательном порядке регистрируются процессом управления конфигурацией. Основные функции по управлению изменениями:
|
|
– обработка запросов на изменения;
– оценка последствий изменений;
– утверждение изменений;
– разработка графика проведения изменений, включая восстановление при сбое;
– установление процедуры обработки запроса на изменение;
– установление категорий и приоритетов изменений;
– управление проектами изменений;
– организация работы комитета по одобрению изменений;
– работа над постоянным улучшением процесса.
Процесс управления конфигурацией, поддерживающий в актуальном состоянии данные по конфигурации информационных систем.
Управление конфигурацией предполагает регистрацию и контроль информации об инфраструктуре ИТ, в том числе не только инвентаризацию активов, но и контроль их взаимосвязей. Основная задача процесса управления конфигурацией – поддержание в актуальном состоянии данных по конфигурации информационных систем. Принципиальное действие – учет всех единиц аппаратного и программного обеспечения, включая как системы коллективного пользования (серверы, сетевое оборудование, сетевые ОС, базы данных, почтовые системы и др.), так и оборудование и программное обеспечение на рабочих местах пользователей. По каждой позиции конфигурации фиксируется ее содержание и текущие значения настроек. Записи базы данных конфигурации содержат дату и время, что позволяет хранить не только текущее состояние, но и историю данной единицы конфигурации.
|
|
База данных конфигурации используется практически всеми процессами в рамках стандарта ITSM, но особенно важна данная информация в процессах блока планирования и управления сервисами, а также в процессах управления инцидентами и проблемами. Основные функции для реализации управления конфигурацией:
– ведение базы данных единиц конфигурации;
– ведение управленческого учета и учета состояния, включая контроль целостности базы данных;
– осуществление первоначального ввода данных конфигурации;
– установление системы управления конфигурацией;
– работа над постоянным улучшением процесса.
Таким образом, процессы управления изменениями и конфигурациями обеспечивают целостность и согласованность информационной системы предприятия. В процессе управления изменениями эта задача решается посредством процесса одобрения изменений, предусматривающего всесторонний контроль за изменениями со стороны сотрудников ИС, а при значительных изменениях – и со стороны руководства предприятия в целом. Процесс управления конфигурациями регистрирует все изменения в ИТ-инфраструктуре предприятия и обеспечивает все остальные процессы данными об установленных позициях оборудования и программного обеспечения, включая данные о произведенных настройках. В рамках управления изменениями и конфигурациями осуществляется управление не только аппаратным и программным обеспечением, но и информационными ресурсами ИС.
Определение необходимого класса защищенности ИС и обеспечение
Информационной безопасности в соответствии с выбранным классом
Подход, базирующийся на моделировании поведения потенциального
Нарушителя и системы защиты информации
Реализация данного подхода осуществляется в соответствии со схемой: «моделирование поведения нарушителя – выбор класса защищенности ИС – построение модели системы защиты информации – выбор средств обеспечения ИБ».