Домен "Эксплуатация и сопровождение": процессы, отвечающие за управление данными, физической безопасностью и эксплуатацией систем
14.1. DS 11. Управление данными
Эффективное управление данными требует определение требований к данным. Процесс управления данными также включает в себя создание эффективных процедур управления библиотекой носителей данных, резервным копированием и восстановлением данных, а также надлежащим выводом из эксплуатации (списанием) носителей данных. Эффективное управление данными помогает обеспечить качество, оперативность и доступность корпоративных данных (рис.14.1).
удовлетворяет следующим бизнес требованиям к ИТ
оптимизация использования информации и обеспечение доступности информации по требованию.
сосредоточено на
обеспечении полноты, точности, доступности и защищенности данных.
достигается с помощью
- Резервного копирования данных и тестирования их способности к восстановлению.
- Управления внутренними и удаленными хранилищами данных.
- Безопасным уничтожением данных и оборудования.
результаты оцениваются с помощью следующих показателей
- Доля пользователей, удовлетворенных доступностью данных.
- Доля случаев успешного восстановления данных.
- Число инцидентов, при которых важные данные были доступны после списания носителей данных.
В таблице 14.1 представлена информация, необходимая для процесса и ее источники.
Источник | Входящая информация |
---|---|
PO 2 | Справочник данных, утвержденные классификации данных |
AI 4 | Пользовательские, операционные, поддерживающие, технические и руководства администраторов |
DS 1 | Соглашения операционного уровня |
DS 4 | План резервного хранения и защиты |
DS 5 | План и политика ИТ-безопасности |
В таблице 14.2 приведены результаты процесса и то, куда они должны поступить.
Результаты | В процессы |
---|---|
Отчеты об эффективности процессов | ME 1 |
Инструкции операторов по управлению данными | DS 13 |
Таблица 14.3 содержит таблицу ОУКИ для процесса, а таблица 14.4 – цели и показатели.
Действия\Функции | Президент | Финансовый директор | Высшее руководство | Директор по ИТ | Владелец бизнес-процесса | Руководитель эксплуатации системы | Главный архитектор ИТ-системы | Руководитель разработок | Руководитель администрации ИТ | Руководитель проектного офиса | Аудит, риски, безопасность |
---|---|---|---|---|---|---|---|---|---|---|---|
Преобразовать требования по хранению данных и восстановлению в процедуры | У | И | К | У | К | ||||||
Определить, поддерживать и реализовывать процедуры по управлению библиотекой носителей данных | У | У | К | К | И | К | |||||
Определить, поддерживать и реализовывать процедуры по безопасному уничтожению носителей данных и оборудования | У | К | У | И | К | ||||||
Осуществлять плановое резервное копирование | У | У | |||||||||
Определить, поддерживать и реализовывать процедуры по восстановлению данных | У | К | У | К | К | И |
Цели | Показатели |
---|---|
ИТ:
|
|
Процесса:
|
|
Действия:
|
|
Цели контроля
- DS 11.1. Бизнес требования к управлению данными
Следует проверить, чтобы все данные, предназначенные для обработки, были получены и обработаны в полном объеме, точно и своевременно, а результаты обработки соответствовали бизнес требованиям. Обеспечить поддержку перезапуска и повторной обработки.
- DS 11.2. Запись и хранение
Определить и реализовать на практике процедуры эффективного и производительного хранения, записи и архивирования данных в соответствии с бизнес целями, корпоративной политикой безопасности и регулятивными требованиями.
- DS 11.3. Управление библиотекой носителей данных
Определить и реализовать на практике инвентаризацию архива носителей данных, чтобы удостовериться в их исправности и целостности.
- DS 11.4. Вывод из эксплуатации (списание)
Определить и реализовать на практике процедуры, отвечающие бизнес требованиям по защите важных данных и программ при списании или передаче оборудования и данных.
- DS 11.5. Резервное хранение и восстановление
Определить и реализовать на практике процедуры резервного хранения и восстановления систем, приложений, данных и документации, соответствующие бизнес требованиям и плану обеспечения непрерывности обслуживания.
- DS 11.6. Требования по безопасности к управлению данными
Сформулировать и реализовать на практике политики и процедуры определения и применения требований по безопасности в отношении приема, обработки, хранения и вывода данных, соответствующие бизнес целям, корпоративной политике безопасности и регулятивным требованиям.
В дополнение к управлению программным и аппаратным обеспечением и пользователями, ИТ должно заботиться о данных. Например, на рис.14.2 показано, что ИТ должно заботиться о резервном копировании, восстановлении, архивировании, очистке (purge) и уничтожении данных. Иногда ИТ должно также заниматься пакетной обработкой данных. Пакетное задание (batch job) означает, что компьютер или система будет выполнять ряд программ (так называемых "джобов") без участия человека. Это удобно для многих заданий – обновлений, архивации, каких-то масштабных операций и т.п.
Кратко поясним рис.14.2. В ходе своей нормальной работы приложение может потребовать некоторых "ручных" действий для архивации своих данных. То есть нужно заранее определить процедуры архивации наиболее значимых данных. Будете ли Вы хранить архивы вечно? Конечно, нет. Время, в течение которого данные будут храниться в архиве, зависит от бизнеса, конкретной услуги, требований регуляторов и т.п. Когда время подойдет, Вы должны позаботиться об очистке данных. Очистка предполагает, что данные нельзя восстановить ни одним из известных способов. Резервное копирование предназначено для восстановления в случае необходимости. Списание старых компьютеров, DVD ROM и другой техники требует предварительной очистки данных, в противном случае доступ к ним могут получить злоумышленники. Например, есть программное обеспечение, которое несколько раз стирает данные, затем перезаписывает их случайными данными, делая невозможным восстановление начальных данных. Носители должны быть "разрушены". Например, диски необходимо не просто выбрасывать, а в буквальном смысле ломать.
Таким образом, процесс Управление данными отвечает за обеспечение безопасности, целостности, доступности и полноты данных, управляя ими на протяжении всего жизненного цикла.