Обзор COBIT5 for IS. Enablers. Services, Infrastructure and Applications

Сейчас я активно изучаю COBIT5 fo IS. Про общие впечатления от документа и основные моменты я уже писал туттут и  тут . Сейчас же  хочу рассказать об одном из элементов системы ИБ / движущей силе (enabler), а именно "Services, Infrastructure and Application". В порядке описания COBIT этот элемент является 6 из 7, однако, он мне особо интересен сейчас (в связи с решаемыми мной рабочими вопросами), поэтому начал именно с него.


Итак...


В текстовой части стандарта на этот элемент отведено всего 2 страницы, на которых дается стандартная для всех движущих сил (enablers) модель, содержащая Заинтересованных лиц, Цели, Жизненный цикли Лучшие практикидля рассматриваемого элемента. Особой ценности она не несет, однако, надо понимать, что все движущие силы рассматриваются именно в разрезе этих 4х сущностей. Также тут дается перечень сервисов, связанных с ИБ, на которые я сначала не обратил внимание, т.к. посчитал их просто примером типовых сервисов. Но именно они и раскрываются в Приложении А (на 11 страниц текста/таблиц). 

name='more'>

Общий перечень сервисов и их описание

Сервисов ИБ всего 10, каждому из них соответствует определенный набор Service Capability (я их перевожу, как направления, но это не совсем корректно):

  1. Provide a security architecture рхитектура ИБ)
    • Include IS in architecture
    • Maintain security architecture
    • Set up and maintain asset inventory
    • Provide IS configuration management
    • Set up and maintain infrastructure discovery
  2. Provide security awareness (Повышение осведомленности в ИБ)
    • Provide IS communications (enabling awareness and training
  3. Provide secure development (development in line with security standards) (Проектирования и планирование с учетом ИБ)
    • Develop secure coding practices
    • Develop secure infrastructure libraries
  4. Provide security assessments (Оценка ИБ) 
    • Perform IS assessments
    • Perform information risk assessments
  5. Provide adequately secured and configured systems, in line with security requirements and security architecture ("Усиление" ИБ)
    • Provide adequately secured hardened and configured systems, in line with IS requirements and IS architecture
    • Provide device IS protection
    • Provide physical information protection
  6. Provide user access and access rights in line with business requirements (Управление правами доступа)
    • Provide authentication services
    • Provide IS provisioning services
    • Evaluate IS entity classification services
    • Provide revocation services
    • Provide user authentication and authorisation rights in line with business requirements
  7. Provide adequate protection against malware, external attacks and intrusion attempts (Защита от вредоносного кода, внешних и внутренних атак)
    • Provide IS and countermeasures for threats (internal and external)
    • Provide data protection (in host, network, cloud and storage)
  8. Provide adequate incident response (Реагирование на инциденты)
    • Provide IS escalation service
    • Provide IS forensics (analysis)
  9. Provide security testing (Тестирование системы ИБ)
    • Perform IS testing.
  10. Provide monitoring and alert services for security-related events (Мониторинг событий ИБ)
    • Provide monitoring service for IS processes and events.
    • Provide alerting and reporting service for IS practices, processes and events.
    • Provide IS measurements and metrics (key goal indicators [KGIs), key performance indicators [KPIs], etc.).

Каждый из сервисов описывается по следующей схеме (3 таблицы):
  • Description of the Service Capability (Описание направления реализации сервиса (лучше придумать не смог)):
    • Service Capability / Наименование направления
    • Description / Краткое описание
  • Attributes (Атрибуты):
    • Service Capability / Наименование направления
    • Supporting Technology / Поддерживающая технология
    • Benefit / Преимущество использования
  • Goals (Цели):
    • Service Capability / Наименование направления
    • Quality Goal / Качественные цели
    • Metric / Метрики

Общая идея, на что сделан основной упор:
  1. Security architecture
    • Инвентаризация активов
    •  и понимание общей ИТ-архитектуры (границы, входы/выходы, основные элементы, кол-во лицензий и их цена)
    • Управление конфигурациями элементов ИТ (корпоративные стандарты по настройке)
    • Контроль внесения изменений
    • и пр.
  2. Security awareness
    • Тренинги и повышение осведомленности (в том числе и для снижение риска проведения успешных атак с использование соц.инженерии)
    • и пр.
  3. Secure development
    • Понимание принципов и подходов ИБ при создании программных продуктов (в том числе и для web-приложений)
    • и пр.
  4. Security assessments
    • Проведение аудитов ИБ (оценка соответствия и оценка уязвимостей)
    • Проведение оценки рисков ИБ
    • и пр.
  5. Adequately secured and configured systems, aligned with security requirements and security architecture
    • Управление патчами
    • Использование виртуализации и "облаков"
    • Защита мобильных устройств
    • Обеспечение физической безопасности
    • и пр.
  6. User access and access rights in line with business requirements
    • Аутентификация пользователей
    • Анализ и контроль времени доступа
    • Категорирование и группировка пользователей по правам доступа, предоставление минимальных прав доступа
    • Возможность быстрой отмены прав доступа
    • и пр.
  7. Adequate protection against malware, external attacks and intrusion attempts
    • Криптография
    • Межсетевые экраны
    • Антивирусы
    • DLP 
    • и пр.
  8. Adequate incident response
    • Эскалация информации об инцидентах
    • Расследование/анализ инцидентов
    • и пр.
  9. Security testing
    • Тестирование на проникновение и анализ системы безопасности
    • и пр.
  10. Monitoring and alert services for security-related events
    • Управление логами / SIEM
    • KPI, KGI и другие показатели
    • и пр.


Общие выводы

  1. С каждой новой прочитанной страницей COBIT5 мне все больше и больше нравится идея/модель выделения 7 движущих сил (Enablers). Я начинаю лучше понимать суть и проникаюсь идеей.
  2. Обратите внимание! В этом блоке дается упор именно на связь сервисов/приложений/инфраструктуры, т.е. скорее на средства защиты и мониторинга, нежели на сами процедуры. Это очень важно для понимания идеологии COBIT5. Процедуры, организационные структуры и пр. вынесены в отдельныедвижущие силы (Enablers). Это хорошо видно на примере сервиса по управлению инцидентами. В данном блоке инциденты рассматриваются не с точки зрения того, как быстро восстановить работу систем (что является основной целью процесса управления инцидентами), а каким образом можно получать информацию об уязвимостях и патчах, какими средствами расследовать инциденты.
  3. Считаю, что сама идея выделения сервисов ИБ очень здравая, но приведенная группировка не самая удачная. В существующем виде ее не удобно использовать. Вот, что мне бросилось в глаза:
    • Некоторые сервисы намного шире других и по технологиям и по рекомендациям (например 7й в сравнении со 2м)
    • 4й и 6й сервисы частично дублируют друг друга в части сетевой безопасности
    • Не удобно то, что сервис Security testing выделен в отдельный сервис, а не объединен с  Security assessments. Аналогично и  Monitoring and alert services for security-related events мог бы быть включен в Security assessments
    1. Порадовало наличие метрик под конкретные сервисы ИБ. Например, в том же СУИБ по ISO 27001 требуется мониторить и проводить анализ ИБ. Для этих процессов обычно и используются метрики. При этом в ISO 27001/27002 примеров метрик нет, а в ISO 27004 явно не полный и не самый удобный перечень (про это писал тут ). Поэтому метрики из COBIT5 for IS хорошо дополняют картину, позволяют взглянуть на задачу оценки ИБ с другой стороны.

    Andrey Prozorov

    Информационная безопасность в России и мире