Относительно давно в моей библиотеке лежит стандарт Cobit 4.1., который объединяет в себе лучшие практики по управлению в ИТ сфере. Безусловно, стандарт заслуживает внимания, но я хочу рассмотреть крошечную его часть - "Обеспечение безопасности систем".
Итак, домен "Эксплуатация и сопровождение" раздел "DS 5. Обеспечение безопасности систем". Первичными процессами в обеспечение безопасности являются процессы обеспечения конфиденциальности и целостности обрабатываемой информации (доступность и достоверность рассматривается как вторичные процессы - странно, но да ладно). Далее по разделу формируются рекомендации по управлению безопасности (управлять нужно с учетом требований по ИБ, угроз и уязвимостей и т.д.), цели контроля (по всем подсистемам обеспечения безопасности: идентификация, ключи, межсетевое взаимодействие и т.д.) и привязка к модели зрелости организации.
Из всех процессов, меня заинтересовал процесс управления безопасностью, на вход которого подаются результаты работы от различных этапов, и в том числе, результаты оценки рисков (риски ИТ).
В итоге, при оценки рисков ИТ, необходимо:
1. "PO 2 Описание информационной архитектуры" (классификация данных, информационная архитектура, справочник данных).
2. "DS 5 Обеспечение безопасности систем" (угрозы и уязвимости безопасности).
3. "PO 5 Оценка и управление ИТ рисками" (оценка вероятности и последствий реализации сценария угрозы).
4. "PO 5 Оценка и управление ИТ рискам" (план действий в отношении рисков).
Сам подход является более чем классическим, но его интегрированность в управление ИТ процессами вызывает положительные эмоции.
PS: Изучая последние тенденции в подчинении подразделений, отвечающих за обеспечение безопасности, обратил внимание, на тенденцию вывода таких структурных подразделений из состава ИТ. Получается что стандарт Cobit в России не прижился и не приживется, так как в его понимании, вопросы безопасности должны быть тесно вплетены в неразрывный круг управления ИТ.
