Обзор COBIT 5 for IS. Enablers. Principles, Policies and Frameworks

Обзор COBIT 5 for IS. Enablers. Principles, Policies and Frameworks
Сегодня расскажу про еще одну движущую силу / элемент (enabler), которая рассматривается в документе "COBIT5 for IS". А именно "Principles, Policies and Frameworks".
Напомню, что всего их 7: 1.Principles, Policies and Frameworks; 2.Processes; 3.Organisational Structures; 4.Culture, Ethics and Behaviour; 5.Information; 6.Services, Infrastructure and Applications (про них писал тут ); 7.People, Skills and Competencies

В данном блоке можно найти полезную информацию по следующим направлениям:
  1. Основные принципы ИБ (привожу полностью)
  2. Содержание политики ИБ (ни чего интересного и нового, поэтому не пишу обзор)
  3. Перечень и содержание частных политик ИБ (привожу перечень и комментирую некоторые из них)
  4. Жизненный цикл политик (тоже достаточно просто и не много новой информации, написано в основном про необходимость актуализации; обзор не даю)
name='more'>

Принципы ИБ


ISACA рассматривает следующие принципы ИБ:
  • Support the business // Поддержка бизнеса
    1. Focus on the business // Фокус на бизнес Ensure that IS  is integrated into essential business activities.
    2. Deliver quality and value to stakeholders //  Предоставление качества и ценности для заинтересованных лиц Ensure that IS delivers value and meets business requirements
    3. Comply with relevant legal and regulatory requirements //  Соответствие требованиям регуляторов
       Ensure that statutory obligations are met, stakeholder expectations are managed, and civil or criminal penalties are avoided
    4. Provide timely and accurate information on IS performance //  Предоставление своевременнной и точной информации о состоянии ИБ
       Support business requirements and manage information risk
    5. Evaluate current and future information threats //  Оценка текущих и будущих угроз ИБ
       Analyse and assess emerging IS threats so that informed, timely action to mitigate risk can be taken
    6. Promote continuous improvement in IS //  Постоянное совершенствование Reduce costs, improve efficiency and effectiveness, and promote a culture of continuous improvement in IS
  • Defend the business // Защита бизнеса
    1. Adopt a risk-based approach //  Использование риск-ориентированного подхода
      Ensure that risk is treated in a consistent and effective manner
    2. Protect classified information //  Защита конфиденциальной информации
      Prevent disclosure of classified (e.g., confidential or sensitive) information to unauthorized individuals
    3. Concentrate on critical business applications // Концентрация на критичных для бизнеса системахPrioritise scarce IS resources by protecting the business applications on which an IS incident would have the greatest business impact
    4. Develop systems securely //  Внедрение надежных систем
      Build quality cost-effective systems on which business people can rely (e.g., that are consistently robust, accurate and reliable)
  • Promote responsible IS behaviour // Поощрение ответственного поведения (ИБ)
    1. Act in a professional and ethical manner //  Ориентир на профессиональную этику
      Ensure that IS-related activities are performed in a reliable, responsible and effective manner
    2. Foster an IS-positive culture //  Способствование положительной культуры ИБ
      Provide a positive IS influence on the behaviour of end users, reduce the likelihood of IS incidents occurring, and limit their potential business impact

Перечень частных политик ИБ

  1. Access Control Policy (Политика контроля доступа)
  2. Personnel Information Security Policy ( Политика управление персоналом)
  3. Physical and Environmental Information Security Policy (Политика физической безопасности)
  4. Security Incident Response Policy (Политика управления инцидентами ИБ)
  5. Business continuity and disaster recovery policy (Политика управления непрерывностью бизнеса)
  6. Asset management policy (Политика управления активами)
  7. Rules of behaviour (acceptable use) (Политика допустимого использование активов)
  8. Information systems acquisition, software development and maintenance policy (Политика приобретения, внедрения и поддержки ИС)
  9. Vendor management policy (Политика взаимодействия с партнерами)
  10. Communication and operation management policy (Политика взаимодействия и оперативного управления ИБ)
  11. Compliance policy (Политика соответствия требованиям)
  12. Risk management policy (Политика управления рисками)


Общие выводы

  1. Понравилось разделение принципов на группы и сами принципы
  2. Я считаю, что представленный перечень политик нельзя назвать исчерпывающим, хотя они и  покрывают многие области ИБ. Примеры и описание политик дают новые идеи и мысли о документировании требований ИБ. На что обратил внимание / что понравилось:
    • В очередной раз встречаю ссылку на одну из моих любимых политик - политику допустимого использования активов. С ней знаком по ISO 27001 A.7.1.3, уже несколько раз создавал сам, но кроме своих вариантов и аналогов на английском языке ни разу не встречал в российских компаниях, видел только отдельные документы (типа, политики использования эл.почты и сети интернет). Суть документа проста: в нем определены правила использования сотрудниками основных сервисов и активов, а также общие правила конфиденциальности. Вот что рекомендует ISACA включать в политику: общие правила конфиденциальности, правила использования корпоративными системами и активами, правила использования сети Интернет, эл.почты, сервисов мгновенных сообщений, удаленного доступа, мобильных устройств и фото/видео камер, принтеров, сканеров и факсов, персональных компьютеров для рабочих целей, а также поведение вне офиса (в социальных сетях и блогах).
    • В политике управления доступом предлагают разделять логический и физический доступ, для каждого из которых следует определить жизненный цикл (от предоставления до отзыва прав).
    • В политике по проверке персонала помимо стандартных требований (как это было в  ISO 27001 A.8) по проверке персонала при приеме, есть требования про наличие планов и приоритетов развития ключевых специалистов; про сбор, ведение и регулярную актуализацию информации о навыках и компетенции специалистов. Такое встречается редко, но крайне полезно и для вопросов ИБ, и для повышения эффективности взаимодействия персонала, и для достижения компанией целей, и для мотивации персонала. 
    • В политике физической безопасности разделяют требования по контролю и правам доступа для посетителей, работников и партнеров/вендоров (про выделение последних в отдельную категорию я уже не раз слышал и догадывался, вот теперь нашел примеры подтверждения).
    • Интересна политика соответствия требованиям, в реальной жизни я ни разу не встречал аналогов, хотя для ряда компаний ее создание было бы необходимо. В ней требуется указывать те требования, которые необходимо выполнять для соответствия, необходимые метрики, а также правила сбора и хранения подтверждающих соответствие материалов. Такую политику можно создавать и в рамках 152-ФЗ, и при получении лицензий/аттестатов соответствия по ИБ, и прочих требованиях регуляторов (и внешних и внутренних).
    • Интересны и редковстречаемы политики управления активами, взаимодействия с партнерами, взаимодействия и оперативного управления ИБ.

Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.
article-title

Andrey Prozorov

Информационная безопасность в России и мире