Обзор COBIT5 for IS. Enablers. Общее

Обзор COBIT5 for IS. Enablers. Общее
Продолжая читать COBIT5 for IS, я осилил и осмыслил основную текстовую часть, а именно ту, где описаны 7 групп "движущих сил" (enablers): "Section II. Using COBIT 5 Enablers for Implementing Information Security in Practice", главы:
  • Chapter 1. Introduction
  • Chapter 2. Enabler: Principles, Policies and Frameworks
  • Chapter 3. Enabler: Processes
  • Chapter 4. Enabler: Organisational Structures
  • Chapter 5. Enabler: Culture, Ethics and Behaviour
  • Chapter 6. Enabler: Information
  • Chapter 7. Enabler: Services, Infrastructure and Applications
  • Chapter 8. Enabler: People, Skills and Competencies
И прочел часть "Section III. Adapting COBIT 5 for Information Security to the Enterprise Environment".

К моему разочарованию, на этих 40 страницах авторы COBIT 5 for IS описывают только общие моменты, не затрагивая чего-то совсем существенного. Да, приводят примеры политик и ролей (причем явно не полный комплект), да, описывают некоторые принципы, но в целом не говорят ничего нового. Как оказалось, "самый сок" этого документа авторы вынесли в отдельные приложения (~на 160 страниц). Вот там-то и можно найти всю суть документа. Об этом, видимо уже с точки зрения каждой из 7 движущих сил, я напишу позднее, а сейчас вкратце расскажу, на что обратил внимание при прочтении основной части.

name='more'>

1. Enabler: Principles, Policies and Frameworks

Приводят пример перечня политик, пример структуры политики, вкратце описывают жизненный цикл политики и требования по пересмотру и актуализации.
Из интересного только пример принципов ИБ, про них напишу отдельно.

2. Enabler: Processes

Приводят пример заинтересованных лиц (stakeholders), говорят про RACI-chart как о механизме распределения ролей, делают ссылки на процессы COBIT 5 и еще раз пишут про структуру описания процессов в COBIT5.
Ни чего интересного...

3. Enabler: Organisational Structures

Приводят пример ролей и их основных зон ответственности.
В целом тоже ничего интересного, нет законченной модели...

4. Enabler: Culture, Ethics and Behaviour

Много говорят про лидерство, про необходимость изменений и пр. Дают примеры хороших практик этики ИБ в организации (типа, использования сложных паролей и блокирования экранов и пр.). Говорят про повышение осведомленности.
Из интересного только показатели "хорошей культуры организации в области ИБ", но я про нее писал в прошлом посте.

5. Enabler: Information

Пожалуй, из всех глав, эта показалась мне наиболее интересной. В ней хорошо структурирована информация, которая используется в процессах управления и обеспечения ИБ. Интересная и полезная таблица по заинтересованным лицам и  информации, которую они используют.
Также тут описывают жизненный цикл информации как таковой, пишут про критерии качества информации.
Много интересной информации, напишу подробнее, когда изучу все приложения, тогда и напишу посты про отдельные движущие силы (enablers). 

6. Enabler: Services, Infrastructure and Applications

Приводят примеры ИБ-сервисов.

7. Enabler: People, Skills and Competencies

Ничего интересного, только общие мысли. Приводят примеры навыков и компетенций в ИБ.

Ожидайте следующие посты, в которых я расскажу про каждую из движущих сил (enablers) поподробнее...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!
article-title

Andrey Prozorov

Информационная безопасность в России и мире