Сегодня сижу и перечитываю старенькие книги ISACA про Information Security Governance:
- Information Security Governance Guidance for Boards of Directors and Executive Management, 2nd Edition
- Information Security Governance: Guidance for Information Security Managers
Обе были написаны еще в эпоху до " COBIT5", но, на мой взгляд, все равно остаются довольно актуальными и полезными. Кстати, они бесплатны для членов ISACA.
Вообще, по теме именно "Information Security Governance" я не встречал пока чего-то более полезного, хотя по "IT Governance" есть материалы и посвежее.
В книгах подробно раскрываются задачи руководства (governance) ИБ, объясняются принципы выравнивания целей ИБ с целями бизнеса, разработки стратегии ИБ, измерения ИБ, описываются задачи "высших" ролей (топ-менеджмент, совет директоров, CISO и пр.). Аналогов в российских учебниках, книгах и методологиях я не встречал :(((
Вот, например, верхнеуровневая модель:
Вот, например, верхнеуровневая модель:
Также в книгах приводится "модель зрелости" руководства ИБ, построенная по принципам CMMI (которые мы помним по COBIT4.1), которая мне показалась крайне интересной. Обязательно напишу про нее подробнее.
Материала много, есть мысль даже несколько глав перевести на русский язык... Ну, а пока читайте книги :)))
