COBIT 5 и информационная безопасность

Не смотря на то, что COBIT является стандартом управления ИТ, мне он интересен и с точки зрения best practices по информационной безопасности. Это связано вот с чем:
  • При разработке COBIT 5 учитывались такие стандарты по ИБ как ISO 27001/27002 и NIST SP800-53 rev1.
  • COBIT содержит комплексное описание системы управления ИТ, рассматривая при этом и вопросы ИБ. В частности, 2 из 37 процессов COBIT 5 имеют непосредственное отношение к ИБ:
    • APO13 Manage Securitу
    • DSS05 Manage Security Services
  • Часть процессов COBIT 5 мы можем использовать при внедрения некоторых областей/процессов комплексной системы ИБ (например СУИБ по ISO 27001). В частности:
    • EDM03 Ensure Risk Optimization
    • APO09 Manage Service Agreements
    • APO12 Manage Risk
    • BAI04 Manage Availability and Capacity
    • BAI06 Manage Changes
    • BAI08 Manage Knowledge
    • BAI09 Manage Assets
    • BAI010 Manage Configuration
    • DSS02 Manage Service Requests and Incidents
    • DSS03 Manage Problems
    • DSS04 Manage Continuity
    • ... и пр.
  • Комплект документов COBIT 5 содержит специальный документ, раскрывающий подходы к ИБ "COBIT 5 for Information Security". Кстати, он появится уже скоро, его выход анонсировали на  25-27 June 2012 in San Francisco, California, USA. All INSIGHTS 2012.
  • Существует очень интересный и полезный документ - маппинг  маппинг COBIT 4.1, ITIL v3 и ISO 27002. Он  выложен на сайте ISACA .  К сожалению сейчас это сделано лишь по версии 4.1, по COBIT 5 пока нет, но я уже думаю о том, что некий аналог можно сделать и самостоятельно... Также на сайте ISACA можно найти и другие полезные с точки зрения ИБ статьи и документы про COBIT 4.1/4.0.

Сейчас же при рассмотрении вопросов ИБ, я скорее ориентируюсь на документ "COBIT 5: Enabling Processes" (полный перечень документов см. тут ), т.к. в нем достаточно детально описаны интересующие меня процессы. Информации достаточно много, не все еще успел разобрать, понять и структурировать, однако, уже сейчас публикую краткую краткую майндкарту , содержащую лишь общую информацию о ключевых процессах (APO13 и DSS05).


Andrey Prozorov

Информационная безопасность в России и мире