Напомню, что всего их 7: 1.Principles, Policies and Frameworks (писал тут ); 2.Processes; 3.Organisational Structures (писал тут ); 4.Culture, Ethics and Behaviour (писал тут ); 5.Information; 6.Services, Infrastructure and Applications (писал тут ); 7.People, Skills and Competencies.
Общая информация
На первый взгляд может показаться, что название этой "движущей силы" (enabler) - информация, говорит нам о том, что надо защищать, однако это не правильно. На самом деле в данной области ISACA дает рекомендации о том, какая информация появляется и используется в рамках управления и обеспечения ИБ (что-то типа "управления документацией и записями" в ISO 27001). В частности, документ приводит следующие примеры информации:
Далее каждый из этих типов информации рассматривается более детально. В частности, рассматриваются цели, жизненный цикл (Plan/design/build/acquire; Use/operate (Store, Share, Use), Monitor, Disposal) и "лучшие практики"/рекомендации для каждого из них.
- Information security strategy
- Information security budget
- Information security plan
- Policies
- Information security requirements, which can include:
- Information security configuration requirements
- SLA/OLA information security requirements
- Awareness material
- Information security review reports, which include:
- Information security audit findings
- Information security maturity report
- Information security-related risk management
- Threat analysis
- Vulnerability (information security) assessment reports
- Information security service catalogue
- Information risk profile, which includes:
- Information risk register
- Breaches and loss reports (consolidated incident report)
- Information security dashboard (or equivalent), which includes:
- Information security incidents
- Information security problems
- Information security metrics
При этом каждый из 10 типов информации рассматривается с точки зрения управления ей:
- A—Approver // Утверждающий
- O—Originator // Составитель
- I—Informed of information type // Информируемый
- U—User of information type // Пользователь
Приводится пример таблицы по ролям управления (в приложении перечень ролей/должностей расширен):
Далее каждый из этих типов информации рассматривается более детально. В частности, рассматриваются цели, жизненный цикл (Plan/design/build/acquire; Use/operate (Store, Share, Use), Monitor, Disposal) и "лучшие практики"/рекомендации для каждого из них.
Общие выводы
- Порадовал переход (эволюция) от модели "управления документами и записями", которая присуща, например, стандартам ISO, к модели "управления информацией". Перечень типов информации (а значит и документации) будет полезен для более точного понимания системы ИБ (основных процессов и областей внимания).
- Жаль, что оставлены без комментариев таки типы информации, как "Information security service catalogue" (про него говорят в частности в "Services, Infras tructure and Application Enabler") и "Information risk profile, which includes" (про него говорят, в частности, в соответствующих процессах управления рисками).
- Часть описания типов информации - Good Practice ("хорошие практики") крайне полезна для понимания документов и, соответственно, при их написании. Думаю, что пригодится еще не один раз. Особо хорошо написано про верхнеуровневые документы типа "стратегия ИБ", "бюджет ИБ", "План ИБ", написано кратко и "по делу".
