COBIT2019 для СУИБ

COBIT2019 для СУИБ
Наконец-то удалось выделить достаточно времени для вдумчивого изучения книг COBIT 2019. На текущий момент комплект состоит из 4х базовых (COBIT® 2019 Framework: Introduction and Methodology, COBIT® 2019 Framework: Governance and Management Objectives, COBIT® 2019 Design Guide: Designing an Information and Technology Governance Solution, COBIT® 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution) и дополнительной книги Implementing the NIST cybersecurity framework using COBIT 2019.

Как и прошлые редакции методологии COBIT ее крайне полезно использовать для управления ИТ, и довольно удобно (после некоторой адаптации) применять и для управления ИБ (например, для построения СУИБ). Кратко расскажу о тех идеях и моделях COBIT, которые можно использовать для СУИБ.

1. Governance and Management. В COBIT отлично прописаны оба уровня управления и их необходимость для бизнеса и других заинтересованных лиц. А ключевую ценность СУИБ удобно формулировать в терминах: Benefits realization, Risk optimization и Resource optimization.

2. Goal Cascades. В COBIT хорошо описана идея каскада целей и даны примеры целей на всех уровнях, начиная от целей бизнеса и заканчивая целями ИТ (ИБ). Также в книгах COBIT можно найти примеры метрик.

3. Components of the Governance System. В COBIT хорошо описан системный подход к управлению к ИТ, который отлично применим и к СУИБ. Те СУИБ мы можем описать блоками: Processes, Organizational Structures, Principles/Policies/Procedures, Information, Culture/Ethics/Behaviour, People/Skills/Competencies, Services/Infrastructure/Applications. Для каждого блока приводятся примеры и рекомендации, в частности, я использую People/Skills/Competencies для написания должностных инструкций и резюме, Culture/Ethics/ Behaviour Culture для разработки тренингов по повышению осведомленности, Organizational Structures для распределения ролей и т.д.

4.  Processes. В COBIT детально описаны 2 ИБшных процесса (APO13. Managed Security и DSS05. Managed Security Services) и десяток смежных процессов (например, APO0. Managed Budget and Costs, APO10. Managed Vendors, APO12. Managed Risk, BAI06. Managed IT changes, BAI09. Managed Assets, DSS02. Managed Service Requests and incidents, DSS04. Managed Continuity и другие). Приведены примеры целей и метрик, входов и выходов, распределения ответсвенности (RACI) и основные задачи/действия.

5. Design Factors and Context. Положения о Design Factors и примеры контекста (они в 4й книге) удобно использовать и для СУИБ, тем более, что ни 27001, ни 27002, ни 27003 не дают достаточного количества примеров и пояснения того, как надо анализировать влияние контекста на СУИБ.
Я, кстати, на Патреон выкладывал детальную майндкарту ( pdf и xmind тут )

6. Quality Criteria for Information. Модель качеств/критериев информации крайне хороша для понимания того, что наши ИБшные КЦД - это лишь малая часть и не всегда первостепенные свойства информации, которые ценны для бизнеса.
И, кстати, посмотрите мою старую презентацию про работу с информацией, в которой я также рассказывал про эту модель и делал маппинг этих свойств на другие модели оценки информации:

7. Performance management. Модель зрелости процессов в COBIT традиционно хорошая, а в новой редакции отдельно отмечена возможность проведения оценки зрелости отдельных областей (Focus Areas), в качестве важной области упоминается именно ИБ.

8. COBIT Implementation Approach. Цикл внедрения COBIT удобно заменяет собой PDCA и описание внедрения СУИБ из ISO 27003. Много примеров и рекомендаций. COBIT особенно интересен своими рекомендациями по описанию бизнес-кейса, Challenges and Success Factors, списком Pain points and trigger actions, матрицей принятия решения, ну, и конечно же самими этапами процесса.

Кстати, список Pain Points and Trigger Events, который полезен для обоснования инициатив и проектов, я адаптировал под СУИБ и выложил на Патреон .

9. List of Referenced Standards. Очень неплох перечень рекомендуемых стандартов и "лучших практик", на который ориентировались создатели новой версии COBIT. Нашел вот такой слайд презентации с этим списком:

Ну, в общем, COBIT - классный фреймворк, крайне рекомендую его для менеджеров ИБ, особенно он пригодится при внедрении СУИБ. 

Также сделал общую майндкарту ( pdf и xmind можно скачать на Патреоне ):
Alt text

Andrey Prozorov

Информационная безопасность в России и мире