26 Июня, 2012

Начал изучать COBIT5 for IS

Andrey Prozorov
Начал изучать "COBIT5 for Information Security". C момента заказа и оплаты электронной версии пришлось ждать часов 7, ссылка на скачивание персональной копии (как и для других материалов COBIT5) мне пришла на электронную почту.

Что сразу бросается в глаза:
  • Документ полноценный/полновесный, 220 страниц.
  • Состав документа:
    • Executive Summary. Стандартная небольшая глава, что-то типа краткого обзора для руководства.
    • Section I. Information Security. Небольшая часть (на 5-6 страниц), об общих принципах COBIT5 в разрезе ИБ.
    • Section II. Using COBIT 5 Enablers for Implementing Information Security in Practice. Основная более детальная часть, описывающая основные процессы, орг.структуры, документацию, навыки и инфраструктуру ИБ.
    • Section III. Adapting COBIT 5 for Information Security to the Enterprise Environment. Небольшая часть про внедрение ИБ инициатив и завязка их с корпоративным управлением.
    • Множество приложений:
      • Appendix A. Detailed Guidance: Principles, Policies and Frameworks Enabler.
      • Appendix B. Detailed Guidance: Processes Enabler
      • Appendix C. Detailed Guidance: Organisational Structures Enabler
      • Appendix D. Detailed Guidance: Culture, Ethics and Behaviour Enabler
      • Appendix E. Detailed Guidance: Information Enabler
      • Appendix F. Detailed Guidance: Services, Infrastructure and Applications Enabler
      • Appendix G. Detailed Guidance: People, Skills and Competencies Enabler
      • Appendix H. Detailed Mappings
  • Очень сильно ожидаемое приложение H про соответствие процессов COBIT5 другим важным стандартам ИБ:
    • ISO 27001 и ISO 27002. Кстати, в этом маппиге (в отличие от аналогичных в COBIT4.1) стандарты наконец-то разделены. 
    • The ISF 2011 Standard of Good Practice for Information Security
    • NIST SP 800-53A Revision 1. "Guide for Assessing the Information Security Controls in Federal Information Systems and Organisations"

      Жалко, что только нет обратной связи типа требования и контроли 27001/27002 - процессы COBIT5. Но без этого в принципе можно обойтись или сделать самостоятельно.
      Таблицу соответствия на 7 страниц выкладываю тут .
  • Порадовало наличие списка сокращений и глоссария.