вторник, 29 ноября 2011 г.

Обеспечение безопасности ИТ по версии Cobit 4.1.

Относительно давно в моей библиотеке лежит стандарт Cobit 4.1., который объединяет в себе лучшие практики по управлению в ИТ сфере. Безусловно, стандарт заслуживает внимания, но я хочу рассмотреть крошечную его часть - "Обеспечение безопасности систем".

Итак, домен  "Эксплуатация и сопровождение" раздел "DS 5. Обеспечение безопасности систем". Первичными процессами в обеспечение безопасности являются процессы обеспечения конфиденциальности и целостности обрабатываемой информации (доступность и достоверность рассматривается как вторичные процессы - странно, но да ладно). Далее по разделу формируются рекомендации по управлению безопасности (управлять нужно с учетом требований по ИБ, угроз и уязвимостей и т.д.), цели контроля (по всем подсистемам обеспечения безопасности: идентификация, ключи, межсетевое взаимодействие и т.д.) и привязка к модели зрелости организации.

Из всех процессов, меня заинтересовал процесс управления безопасностью, на вход которого подаются результаты работы от различных этапов, и в том числе, результаты оценки рисков (риски ИТ).
В итоге, при оценки рисков ИТ, необходимо:  
1. "PO 2 Описание информационной архитектуры" (классификация данных, информационная архитектура, справочник данных).
2. "DS 5 Обеспечение безопасности систем" (угрозы и уязвимости безопасности).
3. "PO 5 Оценка и управление ИТ рисками" (оценка вероятности и последствий реализации сценария угрозы).
4.  "PO 5 Оценка и управление ИТ рискам" (план действий в отношении рисков).

Сам подход является более чем классическим, но его интегрированность в управление ИТ процессами вызывает положительные эмоции. 

PS: Изучая последние тенденции в подчинении подразделений, отвечающих за обеспечение безопасности, обратил внимание, на тенденцию вывода таких структурных подразделений из состава ИТ. Получается что стандарт Cobit в России не прижился и не приживется, так как в его понимании, вопросы безопасности должны быть тесно вплетены в неразрывный круг управления ИТ.

1 комментарий:

Alexey Volkov комментирует...

> Изучая последние тенденции в подчинении подразделений, отвечающих за обеспечение безопасности, обратил внимание, на тенденцию вывода таких структурных подразделений из состава ИТ. Получается что стандарт Cobit в России не прижился и не приживется, так как в его понимании, вопросы безопасности должны быть тесно вплетены в неразрывный круг управления ИТ.

Это не совсем так. См. здесь: http://secinsight.blogspot.com/2011/11/blog-post_22.html