Политика Информационной Безопасности
Вступление
« ... Единственная причина, по которой существует наша IT команда, это обеспечение выполнение обязанностей тех сотрудников нашей компании, которые на работе используют компьютеры и средства связи, сделать их труд более эффективным.
Нашим первым приоритетом всегда было, чтобы предоставляемые нами услуги работали. Поэтому, мы прикладываем много усилий для того, чтобы сделать нашу техническую базу более надежной, и максимально быстро обновлять наши сервисы при возникновении потребности в этом.
Для этого мы создали этот сайт пользователей IT-услуг, основная идея которого - предоставить пользователю возможность интуитивно найти всю необходимую информацию о наших услугах. Мы хотим, чтобы пользователи были осведомлены о наших проектах, как текущих, так и перспективных, а также делились с нами своими впечатлениями и предложениями ... »
Директор департамента ИТиА
Михаил Литвиновский
Все услуги, связанные с информационными технологиями внутри ПАО «АрселорМиттал Кривой Рог», предоставляются и обеспечиваются командой Департамента ИТиА. Сфера деятельности Департамента охватывает все структурные подразделения АМКР, включая в себя все звенья производственной цепи, а также всевозможные вспомогательные службы, бюро и отделы.
Основные подразделения
Департамент ИТиА разделен на четыре основных управления, каждое из которых выполняет свои функции и задачи:
Служба автоматизации технологических процессов – самое крупное подразделение Департамента, в сферу ответственности которого входят все процессы, связанные с автоматизацией производства. Сотрудники САТП выполняют разработку, установку, наладку и обслуживание производственных ИС от уровня сенсоров (датчиков) до систем диспетчерского управления и сбора данных. Все средства диспетчеризации и связи также находятся в ведомстве САТП.
Управление по инфраструктуре IT – подразделение, в сферу ответственности которого входит: поддержка, оптимизация и развитие центральной IT-инфраструктуры и сервисов IT в соответствии с потребностями бизнеса и стандартами группы ArcelorMittal, интеграция существующей IT-инфраструктуры предприятия, обеспечение заданного уровня доступности сервисов центральной IT-инфраструктуры, реализация глобальных IT-проектов в рамках группы ArcelorMittal, взаимодействие с другими предприятиями группы ArcelorMittal и глобальными партнерами компании в области IT-инфраструктуры.
Управление по бизнес-системам – основными задачами подразделения являются разработка и обслуживание специализированных бизнес-приложений, а также весь спектр работ, связанных с системой SAP и ее компонентами. Более детальную информацию о бизнес-системах Вы можете найти в разделе «Полезная информация об IT услугах».
Управление по IT сервисам – подразделение, выполняющее всевозможную техническую поддержку, связанную с эксплуатацией IT ресурсов компании. В состав управления входит отдел обработки запросов IT Service Desk (также известен как Служба «05»), предоставляющий помощь конечным пользователям при возникновении проблем с информационными ресурсами. Другими структурными подразделениями управления являются отдел поддержки IT сервисов и отдел технической поддержки средств вычислительной техники.
В тесной взаимосвязи с Департаментом по ИТ и А строит свою работу Бюро информационной безопасности и управления рисками. В основе его деятельности находятся международные стандарты и корпоративные политики информационной безопасности. Бюро организовывает и координирует работы, связанные с защитой информации на предприятии в интересах бизнеса, разрабатывает проекты распорядительных и нормативных документов. В части информационных технологий производит выявление потенциальных угроз, направляет работу Департамента по ИТ и А и других подразделений по их устранению. Осуществляет систематизацию и анализ событий, происходящих в процессе оказания информационных услуг. Проводит работу с участниками информационных процессов по повышению уровня ответственного отношения к соблюдению требований информационной безопасности.
Департаментом ИТ, на базе продукта с открытым исходным кодом Xibo http://xibo.org.uk/, предоставляется сервис отображения разнообразной графической информации на корпоративных экранах.
Что такое корпоративные экраны?
Корпоративные экраны – это экраны, расположенные на территории предприятия, которые отображают специально подготовленную информацию. Содержимое для отображения может состоять из видеороликов (в том числе презентаций PowerPoint), изображений и web-страниц в любой их комбинации.
Корпоративные экраны могут быть объединены в группы для отображения одинакового содержимого (канала). У каждого канала есть редактор (ответственный от того или иного подразделения пользователь), который занимается добавлением/изменением содержимого канала. Таким образом, параллельно могут существовать несколько каналов с различным содержимым:
§ канал для отображения показателей производственной деятельности и общей информации о предприятии, который транслируется в вестибюле инженерного корпуса и вестибюле поликлиники металлургического производства
§ канал для отображения обучающей информации, который транслируется в вестибюле университета АрселорМиттал Кривой Рог
§ канал для отображения данных из систем мониторинга состояния информационных систем департамента ИТ
§ канал Вашего подразделения, которым управляете Вы
Рис.1.1. Схема корпоративных каналов
Каждый корпоративный экран состоит из устройства отображения информации (LCD монитор/телевизор) и персонального компьютера со специальным ПО. Через информационную сеть предприятия ПО взаимодействует с сервером системы Xibo.
Как организовать корпоративный экран?
Для организации корпоративного экрана необходимо обратиться в службу поддержки пользователей департамента ИT ([email protected])
Важно знать перед обращением в службу поддержки пользователей департамента ИT:
§ есть ли у Вашего подразделения оборудование для корпоративного экрана (LCD монитор/телевизор, персональный компьютер)? Если да, то департаментом ИТ будет рассмотрена возможность использования этого оборудования
§ место установки корпоративного экрана. Желательно наличие «сетевой» розетки в месте установки корпоративного экрана
§ будет транслироваться уже существующий канал или Вы собираетесь транслировать канал Вашего подразделения?
ITIL Структура
ITIL является сокращением от Библиотеки Инфраструктуры ИТ. Это набор лучших практик для управления и работы эффективной и рациональной ИТ организации. Данная политика является общим объяснением взаимодействия процессов ITIL.
ITIL Управление Изменениями
Это процесс управления изменениями в ИТ среде. Целью процесса Управления Изменениями является обеспечение использования стандартизированных методов и процедур для эффективного и быстрого выполнения всех изменений, чтобы минимизировать влияние связанных с изменениями инцидентов на качество услуг и последовательно улучшать повседневную работу организации.
ITIL Управление Конфигурацией
Для обеспечения эффективной и рациональной работы всем организациям необходимо контролировать свою ИТ инфраструктуру и сервисы. Управление Конфигурацией предоставляет логическую модель состояния инфраструктуры или сервиса посредством идентификации, регулирования, поддержки и проверки версий существующих Конфигурационных Элементов (CI). (Аппаратное обеспечение, программное обеспечение и документация.)
ITIL Управление Уровнем Сервиса
Этот процесс включает принципы, по которым для всех предоставляемых ИТ услуг должны заключаться Соглашения об Уровне Сервисов (SLA). Он также включает принципы, касающиеся контрактов на внутреннюю и внешнюю поддержку, которые должны заключаться с теми поставщиками (внешними и внутренними), от которых зависит оказание услуг.
ITIL Управление Релизами
Управление Релизами включает планирование, дизайн, создание, конфигурацию и тестирование оборудования и программных продуктов для создания набора компонентов Релиза для продуктивного окружения. Предметом направленности для Управления Релизами является продуктивное окружение и его сервисы посредством использования формальных процедур и проверок.
ITIL Управление Проблемами
Этот процесс включает как реагирующий, так и упреждающий аспекты, необходимые для структурного улучшения предоставления ИТ сервисов бизнесу. Минимизировать отрицательное воздействие на бизнес Инцидентов и Проблем, вызванных ошибками в ИТ Инфраструктуре, и предотвратить повторение Инцидентов, связанных с этими ошибками.
ITIL Управление Инцидентами
Этот процесс описывает управление всеми ставшими известными инцидентами для наиболее быстрого восстановления работы сервисов и минимизации отрицательного воздействия на бизнес операции, обеспечивая этим поддержку возможно лучших уровней качества услуг и доступности.
ITIL Управление Мощностями
Процесс для обеспечения того, чтобы Мощности ИТ Инфраструктуры удовлетворяли требованиям, выработанным бизнесом, наиболее экономично и своевременно.
ITIL Управление Доступностью
Целью процесса Управления Доступностью является оптимизация организации ИТ Инфраструктуры, сервисов и поддержки для обеспечения такого экономичного по затратам и устойчивого уровня Доступности, который дает возможность бизнесу достигать своих бизнес целей.
Политика Информационной Безопасности
Устав Информационной Безопасности
Это политика высшего уровня, излагающая цель Исполнительного руководства в отношении Информационной Безопасности, включая руководящие принципы, роли и ответственности для Информационных Технологий и Информационной Безопасности. Она обеспечивает направление и поддержку руководством информационной безопасности с целью сохранения и защиты информационных активов и активов, относящихся к инфраструктуре. Политика определяет цели безопасности (конфиденциальность, целостность, доступность, контролируемость и степень доверия)
Для инициации и контроля внедрения информационной безопасности в организации должна быть образована структура управления.
Организация Безопасности
Целью данной политики является управление защитой информации в организации. Для инициации и контроля внедрения защиты информации в организации должна быть создана структура управления. Для утверждения политики защиты информации, назначения ролей по защите, координации внедрения защиты и осведомленности о защите в организации должны устраиваться подходящие по форме управленческие форумы под руководством менеджмента.
Сообщение об Инцидентах и Слабых Звеньях Безопасности
Цель данной политики – обеспечить, чтобы работа по безопасности регистрировалась, и чтобы о нарушениях безопасности вовремя сообщалось всем, кого это может касаться, а также обеспечить соответствующее, эффективное и своевременное реагирование на инциденты и слабые звенья безопасности.