Обзор COBIT 5 for IS. Enablers. Culture, Ethics and Behaviour

Обзор COBIT 5 for IS. Enablers. Culture, Ethics and Behaviour
Сегодня расскажу про еще одну движущую силу / элемент (enabler), которая рассматривается в документе "COBIT5 for IS". А именно "Culture, Ethics and Behaviour".
Напомню, что всего их 7: 1.Principles, Policies and Frameworks (писал  тут ); 2.Processes; 3.Organisational Structures (писал тут ); 4.Culture, Ethics and Behaviour; 5.Information; 6.Services, Infrastructure and Applications (писал  тут ); 7.People, Skills and Competencies.

Общая информация

В данном блоке основной фокус авторов направлен на 2 вопроса, важные для ИБ: Поведение и Лидерство


В рамках Поведения рассматриваются следующие "лучшие практики" (перевод вольный):

  • Behaviour 1: Information security is practiced in daily operations // Применение подходов ИБ в повседневной деятельности.
  • Behaviour 2: People respect the importance of information security policies and principles //Понимание сотрудниками важности политик и принципов ИБ.
  • Behaviour 3: People are provided with sufficient and detailed information security guidance and are encouraged to participate in and challenge the current information security situation // Сотрудники обеспечены необходимыми материалами и "лучшими практиками" по ИБ и приглашаются к участию при решении вопросов, связанных с ИБ
  • Behaviour 4: Everyone is accountable for the protection of information within the enterprise // Каждый сотрудник несет ответственность за ИБ в компании 
  • Behaviour 5: Stakeholders are aware of how to identify and respond to threats to the enterprise // Заинтересованные стороны осведомлены о наличии угроз ИБ и определяют подход к реагированию на них 
  • Behaviour 6: Management proactively supports and anticipates new information security innovations and communicates this to the enterprise. The enterprise is receptive to account for and deal with new information security challenges // Руководство активно поддерживает развитие ИБ
  • Behaviour 7: Business management engages in continuous cross-functional collaboration to allow for efficient and effective information security programmes // Руководители подразделений обеспечивают эффективные коммуникации между отделами при решении задач ИБ
  • Behaviour 8: Executive management recognises the business value of information security // Высшее руководство признает ценность ИБ для бизнеса 


Вторым важным моментом внедрения и укрепления системы ИБ является Лидерство. Лидеры показывают своим примером приверженность ценностям и принципам. Лидерство должно быть на всех уровнях организации (и высшее руководство, и менеджеры среднего звена, и простые сотрудники). Основными лидерами, поддерживающими изменения (укрепление ИБ) в компании, могут быть: Risk managers, Information security professionals, C-level executives (CEO, COO, CFO, CIO), Head of HR. Непосредственно лидерство может выражаться в следующих направлениях: "communication, enforcement and rules, incentives and rewards, and awareness", т.е.коммуникациях, определении и контроле правил ИБ (норм), использования систем стимулов и вознаграждений, а также повышения осведомленности.


Общие выводы

  1. Понравилось, что COBIT5 вообще говорит о таких вопросах как культура, этика и поведение, не так много "лучших практик" по ИБ обращают на них внимание. При этом COBIT5 не просто говорит "что это все нужно и полезно", но и приводит определенные рекомендации и по основным инициаторам и движущим силам "прививания" принципов ИБ - лидерам; и по ключевым ценностям и принципам ИБ; и объясняет почему это все важно. По факту получается стройная и целостная система, на много обгоняющая старые подходы к ИБ (особенно объектноориентированные, привет ФСТЭК :)))
  2. Хотелось бы конечно увидеть больше примеров внедрения принципов и ценностей ИБ, но тут уж скорее стоит читать не стандарт, а "бизнесовые" книги.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!

Andrey Prozorov

Информационная безопасность в России и мире