Информационна сигурност (лекционен материал)

58 58

11 Стандарти за системи за управление на качеството
1.
Качество и ефективност на информационната сигурност
Серията стандарти ISO 9000, развити и публикувани от Международната стандартизационна организация (ISO), е първата широко приложима нормативна структура, която предлага указания, правила и препоръки за дефиниране, създаване, експлоатация и поддържане на системи за управление на организацията. По конкретно, стандартите разглеждат въпросите за внедряване на системи за управление на качеството от всякакъв тип организации, работещи в индустриите на производството и услугите. От тях, ISO 9000 се занимава с фундаментите на системата за управление на качеството (СУК), включително основните принципи, на които е базирана фамилията стандарти, а ISO 9001 дефинира изискванията, които трябва да изпълни организацията, за да може да внедри и поддържа СУК в съответствие със стандартите.
Въведените чрез серията стандарти ISO 9000 общи основни понятия и
принципи за изграждане, внедряване и поддържане на системи за управление
се прилагат при разработването и развитието на групите стандарти за
управление в различни области на промишлеността и услугите, като
например, разглежданите в следващите раздели ISO 20000 за системи за
управление на ИТ и ISO 27000, отнасящ се за системи за управление на
информационната сигурност.
Като фундамент на въвежданите чрез стандартите на ISO системи за управление е поставено разбирането, че за успешното ръководене и функциониране на една организация е необходимо тя да бъде системно насочвана и контролирана по прозрачен начин. Успехът може да бъде постигнат в резултат на внедряване и поддържане на система за управление, която е предназначена да осигури непрекъснато подобряване на постиженията, отчитайки потребностите на всички заинтересовани страни. Управлението на дадена организация включва, наред с другите области, и управлението на качеството.
2.
ISO 20000 като инструмент за индустриализация на ИТ услугите
Усъвършенстването на организационните процеси е водещ приоритет на съвременния мениджмънт, но в последните години с бурното развитие на ИТ, както възможностите, така и трудностите при тяхното подобрение нараснаха многократно. В тези условия вниманието привлича методиката за процесно управление, най-вече заради осигуряваната възможност за своевременна реакция на динамичните промени на средата в резултат както на технологичния прогрес, така

59 59 и на условията за бизнес, формиращи се на база непрекъснато формулиране на нови изисквания от страна на потребителите и засилване на конкурентния натиск. Тя дава възможност на организациите да се адаптират успешно към новите условия, като позволява чрез бързо премоделиране на процесите да бъдат отразени настъпилите изменения. Управлението на организационните процеси, базирано на технологиите на сервизно ориентираните архитектури, предполага моделирането на работните процеси като последователност от операции, необходима за получаване на конкретен резултат. Изпълнението на тази последователност в съответствие със зададения модел и с определени правила се автоматизира с помощта на съответна технологична платформа. Развитието на технологиите и инструментите за управление на работните процеси позволява да бъдат обединени възможностите на
ИТ и натрупания организационен опит, така че да се постигнат хармонизиране и оптимизиране на организационните процеси и внедряване на нови организационни практики.
Приложението на процесния подход за управление на услуги от сервизно ориентирани организации с помощта на информационни системи се реализира чрез внедряване на формална система за мениджмънт, която се регламентира от международния стандарт ISO/IEC 20000 „Information technology Service
management”. Той е процесно-ориентиран стандарт, който дава универсалните критерии, с чиято помощ може да се оцени ефективността на използване на ИТ от организациите при предоставяне на услуги, които отговарят на нуждите и удовлетворяват изискванията на потребителите.
Внедряваната чрез ISO 20000 Система за управлението на услугите (СУУ) се отнася до изпълнението и управлението на качеството на информационно- технологични услуги, т.е. тези, осъществявани с помощта на ИТ. Управлението на
ИТ услугите се извършва от доставчиците на ИТ услуги чрез хората, процесите и информационните технологии.
Поставяйки си за цел обобщаването и съвместяването на добрите постижения на голям брой съществуващи национални, отраслови и фирмени стандарти, нормали, предписания и описания на добри практики, отнасящи се за областите на бизнес управлението, управлението на качеството, създаване на ИТ инфраструктура и приложение на ИТ от организациите, ISO 20000 се превръща в първия универсален международен стандарт за управление на ИТ услугите, като в неговата структура влизат дванадесет обособени части (Таблица 1):
Таблица 1 Структура на
ISO/IEC 20000
„Управление на услуги”

60 60
ISO/IEC 20000-1
Информационни технологии.
Управление на услуги –
Част 1: Изисквания към системата за управление на услугите.
ISO/IEC 20000-
2:
Информационни технологии.
Управление на услуги –
Част 2:
Ръководство за прилагане на системи за управление на услуги.
ISO/IEC 20000-
3:
Информационни технологии.
Управление на услуги –
Част 3: Ръководство за определяне обхвата и приложимостта на ISO/IEC 20000-1.
ISO/IEC TR
20000-5:
Информационни технологии.
Управление на услуги –
Част 5:
Примерен план за приложение на ISO/IEC
20000-1.
ISO/IEC TR
20000-6
Информационни технологии.
Управление на услуги – Част 6: Изисквания за органите, осъществяващи одит и сертификация на системи за управление на услуги.
ISO/IEC 20000-7
Информационни технологии.
Управление на услуги –
Част 7:
Ръководство за интегриране и корелация на ISO / IEC
20000-1: с ISO 9001 и ISO / IEC 27001
ISO/IEC 20000-9
Информационни технологии.
Управление на услуги –
Част 9:
Ръководство за прилагане на ISO / IEC 20000-1 към облачни услуги
ISO/IEC 20000-
10
Информационни технологии.
Управление на услуги –
Част 10: Концепции и речник
ISO/IEC TR
20000-11
Информационни технологии.
Управление на услуги –
Част 11: Ръководство за връзката между ISO / IEC
20000-1 и свързаните с нея рамки за управление на услуги: ITIL
ISO/IEC TR
20000-12
Информационни технологии.
Управление на услуги –
Част 11: Ръководство за връзката между ISO / IEC
20000-1 и свързаните с нея рамки за управление на услуги: CMMI-SVC.

61 61
ISO/IEC TR
20000-13
Информационни технологии.
Управление на услуги –
Част 11: Ръководство за връзката между ISO / IEC
20000-1 и свързаните с нея рамки за управление на услуги: COBIT.
Стандартите ISO обхващат огромен набор от дейности, от изработване на продукт, управление на процес, предоставяне на услуга до доставка на материали.
Основните цели на тези стандарти са:
 да се работи по-ефективно;
 да се намалят неизправностите на продуктите;
 да се намали вредното въздействие върху околната среда;
 да се намалят инцидентите на работното място;
 да се намали потреблението на енергия;
 да се запази сигурността на чувствителната информация.
Международната организация по стандартизация (ISO) определя стандарта като „документ, създаден с консенсус и одобрен от признат орган, който предоставя за общо и многократно използване правила, насоки или характеристики за дейности или техните резултати, насочени към постигане на оптималната степен на ред в даден контекст“. Стандартизацията в България е свързана с участие в разработването на стандарти на европейско и международно ниво и тяхното въвеждане като български стандарти. Цел на националната стандартизация е увеличаване на конкурентоспособността на българските фирми.

Изтегляне 1.92 Mb.

Сподели с приятели: