Напомню, что всего их 7: 1.Principles, Policies and Frameworks (писал тут ); 2.Processes; 3.Organisational Structures (писал тут ); 4.Culture, Ethics and Behaviour; 5.Information; 6.Services, Infrastructure and Applications (писал тут ); 7.People, Skills and Competencies.
Общая информация
В данном блоке основной фокус авторов направлен на 2 вопроса, важные для ИБ: Поведение и Лидерство.В рамках Поведения рассматриваются следующие "лучшие практики" (перевод вольный):
- Behaviour 1: Information security is practiced in daily operations // Применение подходов ИБ в повседневной деятельности.
- Behaviour 2: People respect the importance of information security policies and principles //Понимание сотрудниками важности политик и принципов ИБ.
- Behaviour 3: People are provided with sufficient and detailed information security guidance and are encouraged to participate in and challenge the current information security situation // Сотрудники обеспечены необходимыми материалами и "лучшими практиками" по ИБ и приглашаются к участию при решении вопросов, связанных с ИБ
- Behaviour 4: Everyone is accountable for the protection of information within the enterprise // Каждый сотрудник несет ответственность за ИБ в компании
- Behaviour 5: Stakeholders are aware of how to identify and respond to threats to the enterprise // Заинтересованные стороны осведомлены о наличии угроз ИБ и определяют подход к реагированию на них
- Behaviour 6: Management proactively supports and anticipates new information security innovations and communicates this to the enterprise. The enterprise is receptive to account for and deal with new information security challenges // Руководство активно поддерживает развитие ИБ
- Behaviour 7: Business management engages in continuous cross-functional collaboration to allow for efficient and effective information security programmes // Руководители подразделений обеспечивают эффективные коммуникации между отделами при решении задач ИБ
- Behaviour 8: Executive management recognises the business value of information security // Высшее руководство признает ценность ИБ для бизнеса
Вторым важным моментом внедрения и укрепления системы ИБ является Лидерство. Лидеры показывают своим примером приверженность ценностям и принципам. Лидерство должно быть на всех уровнях организации (и высшее руководство, и менеджеры среднего звена, и простые сотрудники). Основными лидерами, поддерживающими изменения (укрепление ИБ) в компании, могут быть: Risk managers, Information security professionals, C-level executives (CEO, COO, CFO, CIO), Head of HR. Непосредственно лидерство может выражаться в следующих направлениях: "communication, enforcement and rules, incentives and rewards, and awareness", т.е.коммуникациях, определении и контроле правил ИБ (норм), использования систем стимулов и вознаграждений, а также повышения осведомленности.
Общие выводы
- Понравилось, что COBIT5 вообще говорит о таких вопросах как культура, этика и поведение, не так много "лучших практик" по ИБ обращают на них внимание. При этом COBIT5 не просто говорит "что это все нужно и полезно", но и приводит определенные рекомендации и по основным инициаторам и движущим силам "прививания" принципов ИБ - лидерам; и по ключевым ценностям и принципам ИБ; и объясняет почему это все важно. По факту получается стройная и целостная система, на много обгоняющая старые подходы к ИБ (особенно объектноориентированные, привет ФСТЭК :)))
- Хотелось бы конечно увидеть больше примеров внедрения принципов и ценностей ИБ, но тут уж скорее стоит читать не стандарт, а "бизнесовые" книги.
