Про непрерывное улучшение ИБ под впечатлением от ITIL

Про непрерывное улучшение ИБ под впечатлением от ITIL
В ITIL есть одна замечательная идея - Continual Service Improvement (CSI, непрерывное улучшение услуг). Про нее пишут много, одноименная книга библиотеки ITIL содержит порядка 250+ страниц.

По ITIL: 

"Основная цель CSI заключается в непрерывном "выравнивании" услуг в соответствии с изменяющимися требованиями бизнеса путем поиска и реализации возможностей улучшения услуг, которые поддерживают бизнес-процессы."
Интересно то, что если мы слово "услуга" заменим на "ИБ", а CSI расшифруем как "Continual Security Improvement", то идея будет полезна и для специалистов по ИБ.
"Основная цель CSI заключается в непрерывном "выравнивании" ИБв соответствии с изменяющимися требованиями бизнеса путем поиска и реализации возможностей улучшения ИБ, которая поддерживает бизнес-процессы."
Здорово, не правда ли?!

Читаем дальше. 
"Результаты улучшений (постоянное совершенствование) ИБ обычно определяется в следующих терминах:
  • Улучшения (Improvements). Результаты, которые при сравнении предыдущим состоянием могут показать увеличение желаемой или уменьшение нежеланной  метрики .
  • Выгоды (Benefits). Результаты, достигнутые в результате реализации улучшений, обычно, но не всегда, выраженные в финансовых терминах.
  • ROI (Return on Investment, возврат инвестиций). Разница между выгодой, полученной от улучшения, и затратами на его реализацию, выраженное в процентах.
  • VOI (Value on Investment, добавленная ценность от инвестиций). Дополнительная ценность, включающая дополнительно нематериальные выгоды и долгосрочные преимуществами. ROI является частью VOI."

  • Таким образом ITIL дает ответ на глобальный спор о том, как измерять ИБ: "Считать метрики или бенефиты (выгоды)?". Можно так и так... А для обоснования нематериальных выгод ITIL рекомендует использовать "бизнес-кейсы" (я об этом упоминал вот в этой презентации ).

    А еще из ITIL можно взять CSI model (модель непрерывного совершенствования), но это уже другая история...

    Alt text

    Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале

    Andrey Prozorov

    Информационная безопасность в России и мире