19 Марта, 2012

CISM IS Governance (Intro)

Andrey Prozorov
Блок 1 "Information Security Governance".
Пожалуй один из самых противоречивых и непривычных для понимания доменов CISM, однако,  без него ни как... Он поясняет, как "связать" систему информационной безопасности с целями и процессами организации в целом, для того, чтобы ИБ помогала бизнесу.

name='more'> Понимание и знания этого домена базируются на:
  1. Develop an information security stratregy aligned with business goals and objectives. - Построение стратегии ИБ, соответствующей целям и задачам бизнеса
  2. Align information security strategy with corporate governance. -Выравнивание/соотнесение стратегии ИБ с корпоративным управлением
  3. Develop business case justifying investment in information security. - Обоснование инвестиций в ИБ
  4. Identify current and potential legal and regulatory requirements affecting information security. - Определение текущих и потенциальных правовых и нормативных требований к ИБ
  5. Identify drivers affecting the organization (e.g., technology, business environment, risk tolerance, geographic location) and their impact on information security. - Определение факторов влияющих на ИБ
  6. Obtain senior management commitment to information security. - Получение приверженности высшего руководства к ИБ
  7. Define roles and responsibilities for information security throughout the organization. - Определение ролей и ответственности за ИБ в организации
  8. Establish internal and external reporting and communication channels that support information security. - Создание внешней и внутренней отчетности для поддержки ИБ

Для общего восприятия домена необходимо понимать такие концепции/термины, как access control, attacks, availability, BIA, Confidentiality, Gap analysis, Governance, Impact, Integrity, Risk, Strategy, Vulnerabilitiesи пр., а также такие технологии как firewalls, antivirus, IDSIPS, PKI, SSO, SSL, Encryption, VPNs, Forensics, IAM, SIEMи пр. По сути, необходимо  разбираться в общих терминах и технологиях и понимать следующие принципы управления ИБ:
  1. CEOs should conduct an annual IS evaluation, review the results with staff and report on performance to the board of directors. - Руководители должны проводить ежегодную оценку ИБ
  2. Organization should conduct periodic risk assessment of information assets as part of risk management program. - В организации должна регулярно проводиться оценка рисков ИБ (в рамках управления рисками)
  3. Organization should implement policies and procedures based on risk assessment to secure information assets. - В организации должны быть внедрены необходимые политики и процедуры ИБ, базирующиеся на оценке рисков ИБ
  4. Organization should establish a security management structure to assign explicit individual roles, resposibilities and accountability. - В организации должна быть четка определена ответственность за управление и обеспечение ИБ
  5. Organization should develop plans and initial actions to provide adequate IS for networks, facilities, system and information. В организации должны быть определены планы и действия по обеспечению адекватной ИБ
  6. Organization should treat IS as integral part of the system life cycle. - ИБ должна рассматриваться как часть жизненного цикла систем
  7. Organization should provide IS awareness, training and education to personnel. - В организации должно проводится повышение осведомленности и обучение персонала
  8. Organization should conduct periodic testing and evaluation of the effectiveness of IS policies and procedures. В организации следует периодически проводить оценку эффективности политик и процедур ИБ
  9. Organization should create and execute a plan for remedial action to address any IS deficiencies. В организации должны быть созданы и выполняться планы по совершенствованию ИБ
  10. Organization should develop and implement incident response procedures.  - В организации должны быть разработаны и внедрены процедуры реагирования на инциденты
  11. Organization should establish plans, procedures and test to provide continuity of operations. - В организации должны быть разработаны планы и процедуры по обеспечению непрерывности деятельности, а также проводиться их тестирование 
  12. Organization should use security best practices guidance, such as ISO 17799, to measure IS performance. - В организации должны использоваться "лучшие практики" ИБ


Сертификация CISM не предполагает глубоких знаний по построению бизнес-стратегий, однако, следует понимать:
  • цели управления ИБи их взаимосвязи с бизнесом организации;
  • роль Board of directors, Executive management, Steering committee, CISO, Audit executives в управлении ИБ;
  • метрики, KGI/KPI (Key Goal/Performance Indicator) и CSFs (Critical Success Factors) в управлении ИБ; 
  • COBIT, ISO27k, CMM, Balanced scorecard...;
  • цели, содержание, порядок разработки и внедрение стратегии ИБ и программы ИБ
  • основные ресурсы, необходимых для реализации стратегии ИБ, а именно: policies, standards, procedures, guidelines, architecture, control (physical, technical, procedural), countermeasures, layered defenses, technologies, personnel security, organizational structure, roles and responsibilities, skills, training, awareness and education, audits, compliance enforcement, threat assessment, vulnerability analysis, risk assessment, business impact assessment, resource dependency analysis, outsourced security providers, other organizational support and assurance providers, facilities, enveronmental security;
  • основные ограничения при реализации стратегии ИБ, а именно: legal, physical, ethics, culture, cost, personnel, organizational structure, resources, capabilities, time, risk tolerance;
  • Business Model for IS (BMIS).


Краткая майнкарта по мануалу:


и pdf