ГОСТ Р ИСО/МЭК 27034-5-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5. Структуры данных протоколов и мер обеспечения безопасности приложений

6.4 Менеджмент инфраструктуры

6.4.1 Общие положения

Менеджмент инфраструктуры показан на рисунке 13.

 

 

Рисунок 13 - Менеджмент инфраструктуры

 

Этот уровень состоит из областей мероприятий, связанных с менеджментом инфраструктуры ИТ-услуг, поддерживающей использование приложений в организации. Эти мероприятия обычно рекомендованы такими стандартами, как ИСО/МЭК 20000. Цель менеджмента инфраструктуры заключается в предоставлении необходимой инфраструктуры и услуг для поддержки целей проектов организации и проектов приложений на протяжении всего жизненного цикла. Менеджмент обычно включает три области мероприятий: менеджмент обеспечения инфраструктуры приложений, менеджмент инфраструктуры эксплуатации приложений, менеджмент инфраструктуры архивирования и изъятия приложений. Каждая из областей делится на две сферы: создание инфраструктуры и сопровождение инфраструктуры.

6.4.2 Создание инфраструктуры

Согласно ИСО/МЭК 15288, цель процесса создания инфраструктуры состоит в определении требований к проектной инфраструктуре, а также коммерческих ограничений, которые влияют на выделение инфраструктурных ресурсов и услуг для проекта. Процесс включает определение и предоставление инфраструктурных ресурсов и услуг, необходимых для реализации и поддержки ввода в действие и эксплуатации приложений.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) подготовка, настройка и установка сред разработки, тестирования, эксплуатации и архивирования;

b) создание и обновление документов по конфигурации;

c) валидация и обновление плана по обеспечению бесперебойного функционирования и планов на случай внештатных ситуаций;

d) создание руководства пользователя;

e) создание руководства администратора;

f) корректировка корпоративных процедур и политик, затронутых в результате перевода систем на работу онлайн, а также информирование действующих субъектов и правообладателей, затронутых этими изменениями;

g) проведение приемочных испытаний для проверки основных функций.

6.4.3 Сопровождение инфраструктуры

Согласно ИСО/МЭК 15288, цель процесса сопровождения инфраструктуры состоит в непрерывной или регулярной сверке с требованиями проектов, чтобы определить, насколько предоставляемые инфраструктурные ресурсы им удовлетворяют. Процесс включает определение и внесение улучшений или изменений в инфраструктурные ресурсы по мере того, как проектные требования меняются. Обычно этот процесс выполняется несколько раз на основе цикла планирование-исполнение-проверка-принятие мер.

Обозначения мероприятий, определенных согласно ЭМЖЦБП для этой области, включают следующие:

a) сопровождение системы при запланированном уровне доверия;

b) применение лучших методов при управлении идентификационной информацией и конфигурацией;

c) проведение периодических аудитов и проверок внутренней безопасности;

d) осуществление контроля изменений;

e) подготовка сред эксплуатации;

f) создание и обновление документов, описывающих конфигурацию;

g) валидация и обновление плана по обеспечению бесперебойного функционирования и планов на случай внештатных ситуаций;

h) создание руководства пользователя;

i) создание руководства администратора;

j) корректировка корпоративных процедур и политик, затронутых в результате перевода систем на работу онлайн, а также информирование действующих субъектов и правообладателей, затронутых этими изменениями.