27 Июня, 2012

Обзор COBIT5 for IS. Общие положения

Andrey Prozorov
В продолжение поста про начало изучения COBIT5 for IS .

Основной целевой аудиторией "COBIT5 for IS" являются все те, кто заинтересован в ИБ в компании, в частности: Chief information security officers (CISOs), information security managers (ISMs) и другие information security professionals.

ISACA дает свое определение информационной безопасности:
  • Ensures that within the enterprise, information is protected against disclosure to unauthorised users (confidentiality), improper modification (integrity) and non-access when required (availability).
ISACA определяет следующие выгоды от использования COBIT5 for IS:
  • Reduced complexity and increased cost-effectiveness due to improved and easier integration of information security standards, good practices and/or sector-specific guidelines
  • Increased user satisfaction with information security arrangements and outcomes
  • Improved integration of information security in the enterprise
  • Informed risk decisions and risk awareness
  • Improved prevention, detection and recovery
  • Reduced (impact of) information security incidents
  • Enhanced support for innovation and competitiveness
  • Improved management of costs related to the information security function
  • Better understanding of information security
Также ISACA определяет следующее поведение и культуру в организации, в которой понимают важность ИБ:
  • Information security is practiced in daily operations (ИБ применяется повседневно)
  • People respect the policies and principles (Сотрудники принимают и уважают принципы и политики ИБ)
  • People are provided with sufficient and detailed guidance, and are encouraged to participate in and challenge the current situation (Наличие детальных руководств и вовлеченность сотрудников в ИБ)
  • Everyone is accountable for protection (Каждый несет ответственность за ИБ)
  • Stakeholders identify and respond to threats to the enterprise (Заинтересованные стороны выявляют и реагируют на инциденты ИБ)
  • Management proactively supports and anticipates innovations (Руководство поддерживает и ожидает инноваций) 
  • Business management engages in continuous cross-functional collaboration (Подразделения сотрудничают и обмениваются информацией друг с другом)
  • Executive management recognises the business value (Руководство понимает ценность ИБ для бизнеса)
Как я уже упоминал ранее , в COBIT5 появился новый термин "Enablers" (что-то типа движущих сил, факторов влияния). Их всего 7:
  1. Principles, Policies and Frameworks
  2. Processes
  3. Organisational Structures
  4. Culture, Ethics and Behaviour
  5. Information
  6. Services, Infrastructure and Applications
  7. People, Skills and Competencies 


Именно по такой структуре (с детальным описание каждой движущей силы) в COBIT5 for IS и описана информационная безопасность (это отдельные главы секции II и соответствующие им приложения). Ну, об этом я напишу в последующих постах.


P.S. Кстати, я периодически беру из документа цитаты, при этом некоторые из них перевожу (достаточно вольно), а некоторые оставляю без перевода. Удобно ли это читателям? Или постараться как-то однообразно делать (или все переводить или все нет)?