Портал №1 по управлению цифровыми
и информационными технологиями

Бесплатная экспертная база знаний по управлению ИТ

Перейти к полной базе знаний Перейти к полному глоссарию
 
Конфиденциальность
 
Цель безопасности, которая обеспечивает, что информация не становится доступной или раскрываемой неуполномоченным субъектам.
Answer
Оригинальный английский термин
confidentiality
Answer
Подробности
Конфиденциальность в ITSM описывает требуемый уровень защиты информации от несанкционированного доступа и раскрытия на всём жизненном цикле услуги и её данных. Это одна из базовых целей в управлении информационной безопасностью и напрямую влияет на гарантию услуги: заказчик ожидает, что поставщик услуги не допустит утечек данных клиентов, коммерческой тайны, персональных данных или технической информации об ИТ-инфраструктуре. На практике конфиденциальность обеспечивается сочетанием организационных и технических мер: разграничением прав доступа, управлением идентификаторами, шифрованием данных при хранении и передаче, контролем журналирования, управлением уязвимостями, правилами работы с носителями и договорными обязательствами с партнёрами и поставщиками. В операционной деятельности требования конфиденциальности должны быть встроены в проектирование услуг, управление изменениями, управление инцидентами и управление запросами на обслуживание, чтобы доступ предоставлялся по принципу необходимости и был проверяемым. Вне области понятия конфиденциальности находятся вопросы корректности данных (это целостность), доступности услуги для легитимных пользователей (это доступность) и восстановление после катастрофы (это восстановление и план восстановления после катастрофы).
Answer
Нюансы
Конфиденциальность часто ошибочно сводят к «секретности» или к одному техническому контролю, например к шифрованию. На практике нарушение конфиденциальности возможно и без взлома: через ошибочную настройку прав, пересылку файлов не тому адресату, публикацию дашборда без ограничений, использование общих учётных записей или чрезмерные права команды поддержки. Ещё одна типичная путаница — смешение конфиденциальности с целостностью и доступностью: система может быть доступной и неизменённой, но при этом данные могут быть раскрыты третьей стороне; наоборот, при строгих ограничениях доступа можно ухудшить клиентский опыт и нарушить ожидаемый уровень услуги, хотя конфиденциальность формально соблюдена. В ITSM важно связывать требования конфиденциальности с конкретными сценариями использования, ролями пользователя и заказчика, а также с обязательствами по соответствию требованиям, иначе контроль становится либо избыточным, либо формальным. Частая ошибка в управлении изменениями — оценивать риск только с точки зрения работоспособности, игнорируя то, что изменение конфигурации может расширить поверхность раскрытия данных. Наконец, конфиденциальность не означает, что информация не может быть передана вообще: она означает, что передача и доступ допустимы только уполномоченным субъектам и должны быть контролируемыми и проверяемыми.
Answer
Примеры
  • Ограничение доступа к CMDB так, чтобы подрядчик видел только свои конфигурационные единицы и не имел доступа к данным других услуг
  • Шифрование резервных копий и контроль выдачи ключей, чтобы даже при утрате носителя информация не была раскрыта
  • Настройка прав в системе сервис-деск: пользователь видит только собственные обращения, а не обращения других подразделений
  • Маскирование персональных данных в тестовой среде, чтобы разработка и тестирование не раскрывали реальные данные заказчика
  • Разделение ролей и журналирование доступа администраторов к рабочей среде для последующего контроля несанкционированных действий
Courses
Рекомендуемые продукты по этой теме
 
Учебный курс: интенсив с тренером
ITSM. Основы управления ИТ-услугами
Самый популярный тренинг по управлению ИТ
Деловая игра
Apollo 13 — ITSM на практике
Service Desk, управление инцидентами, проблемами, изменениями
Altevics
Современная ITSM/ESM-система
 
Что такое конфиденциальность в ITIL и ITSM? Смотрите в глоссарии по управлению ИТ, входящим в бесплатную экспертную базу знаний по управлению ИТ от компании Cleverics.
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику обработки персональных данных и Согласие на их обработку.