Обзор COBIT 5 for IS. Enablers. Organisational Structures

Обзор COBIT 5 for IS. Enablers. Organisational Structures
Сегодня расскажу про еще одну движущую силу / элемент (enabler), которая рассматривается в документе "COBIT5 for IS". А именно "Organisational Structures".
Напомню, что всего их 7: 1.Principles, Policies and Frameworks (про них писал тут ); 2.Processes; 3.Organisational Structures; 4.Culture, Ethics and Behaviour; 5.Information; 6.Services, Infrastructure and Applications (про них писал  тут ); 7.People, Skills and Competencies


name='more'>

Общая информация

В данном блоке описана рекомендуемая структура ИБ. В частности, ISACA предлагает использовать следующие функциональные единицы / роли:

  1. Chief information security officer (CISO)
  2. IS steering committee (ISSC)
  3. IS manager (ISM)
  4. Enterprise risk management (ERM) committee
  5. Information custodians/business owners
Дополнительно в основной части документа ссылаются и на такую функциональную единицу,  как "IS team", в которую входят:
  • Information security administrators
  • Information security architects
  • Information security compliance and auditing officers
Каждая из 5 функциональных единиц рассматривается со следующих точек зрения (таблицы):
  • Composition // Состав (только для комитетов) 
  • Mandate, operating principles, span of control and authority level // "Уровень власти"
  • High-level RACI chart // Высокоуровневое распределение ответственности (матрица RACI)
  • Inputs/Outputs // Входы и выходы

Общие выводы

  1. Представленный перечень ролей/комитетов ИБ достаточно интересный, но слишком высокоуровневый. Для решения определенных операционных задач потребуется его расширять. В частности, необходимы будут следующие роли: "Ответственный за обработку и обеспечение безопасности ПДн", "Аудитор", "Менеджер по непрерывности бизнеса", да и в части управления инцидентами появятся дополнительные роли. Также я обычно выделяю такую роль, как "Пользователь".
  2. Приятно, что для описания ролей используется инструмент RACI-chart. Интересен и сам перечень "Process Practice" (областей/функций) за которые распределяется ответственность.
    Я бы рекомендовал относиться к этой таблице не столько как к руководству к действию, а скорее как к возможному варианту. Для своих нужд, я бы немного переделал.
    Напомню суть. RACI-chart - это таблица, в которой визуально отображена ответственность каждой роли за определенные функции. На пересечении ролей и функций проставляется определенный символ ("R","A","C","I", или его отсутствие), что означает:
    • R - Responsible (исполняет)
    • A - Accountable (несет ответственность, присваивается только 1 роли в рамках функции/процесса)
    • C - Consult before doing (консультирует до исполнения)
    • I - Inform after doing (оповещается после исполнения)
    • отсутствие символа - не участвует в процессе/функции 
  3. Итого, данная часть документа достаточно интересна и пригодится когда вы будете планировать структуру ролей ИБ, в особенности это касается всевозможных комитетов/групп.
Alt text

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!
article-title

Andrey Prozorov

Информационная безопасность в России и мире