Информационная безопасность в Cobit 5

• Фокус на пожелания всех участников (не только заказчика как в ИСО 9001)
• Целых 3 принципа (2,3 и 4) посвящены созданию единой системы
• Новый подход в бизнесе - отделение Governance и Management

->ИБ включена в Cobit 5 как полноценная часть фреймворка

->Улучшения во всех основных областях деятельности любой организации

->Таким образом, ISACA анонсирует комплексный фреймворк включающий полноценную СУИБ (Систему Управления ИБ)

Но как дела обстоят на самом деле?

Что представляет собой Cobit 5 в деталях?

->Удобная, структурированная система

• в равной степени покрыты менежмент, операционный и технический уровни

Выводы

ISO 27001

Cobit 5

• фокус на операционных и менежмент уровнях

• недостаток влияния бизнеса

• тесная интеграция с бизнес потребностями

• фокус только на ИБ

• полное покрытие всех потребностей организации

• нет картинок:-/

• удобный структурированный фреймворк

• отличное покрытие технических аспектов

• одноразовая сертификация

• модель зрелости

Введение в COBIT 5

Дополнение к Cobit 5 - руководство по ИБ

Повсеместное использование мобильных устройств

Принципы Cobit 5

Дыры в информационной безопасности

Желания участников

Управление отделено от Менеджмента

• Существует отдельный документ COBIT 5 for Information Security

Структура Cobit 5

Покрытие Организации от и до

Построение единого интегрированного фреймворка

Целостный (холистический) подход

• Содержит рекомендации для специалистов по ИБ - как внедрять Cobit 5 с точки зрения ИБ

Огромные объемы информации

95% записей, украденных в 2011г содержали персональную информацию

Жизненный цикл в Cobit 5

• Содержит таблицу покрытия процессами Cobit 5 - соответствующими контролями ISO 27001/27002

315 новых уязвимостей в мобильных устройствах - в 2011

Риски социальных сетей

Некоторые другие особенности Cobit 5

1) Инициация

2) Определение проблем и возможностей

3) Определение плана верхнего уровня

4) Детальное планирование

5) Выполнение плана

6) Получение выгоды

7) Ревью эффективности

Роли

Каскадирование целей

Модель зрелости

5000$ в минуту - средняя цена простоя одной минуты датацентра

Enablers (то, что помогает достичь результата)

Так что же выбрать?

COBIT 5 - что внутри

Пример для APO 13 Управление безопасностью

Управление безопасностью

Существует связь между целями организации (бизнеса) и ИТ целями

% критичных бизнес процессов, ИТ сервисов и программ - покрытых риск менеджментом

04. Бизнес риски связанные с ИТ являются управляемыми

ИТ цели имеют метрики

1. Определить границы СУИБ в терминах характеристик организации, ее структуры, местонахождения, активов и технологий. Включить детали и обоснование для возможных исключений.

Каждая практика содержит набор конкретных действий (руководств) к выполнению

Уровень удовлетворенности участников по плану безопасности

2. План по безопасности создан, утвержден и распространен в организации

Описаны цели процесса

В конце секции - ссылки на соответствующие стандарты

Рекомендации

Список практик - что конкретно нужно внедрять

Описаны роли и ответственности (RACI) - кто и за что отвечает

APO 13.01 Создать и поддерживать СУИБ

Процесс раскрывается в списке практик (необходимых действий)

Информационная безопасность и COBIT 5

Выбираем Cobit 5

• для управления всем бизнесом
• для управления ИБ на верхнем уровне
• для правильной связи ИБ и бизнеса

Выбираем ISO 27001

• для детального обеспечения ИБ
• для контроля внедрения технических контролей (средств защиты)
• для полноценного раскрытия аспектов ИБ на всех уровнях

Опредение Информационной Безопасности

ISO 27001

Ensures that within the enterprise, information is protected against disclosure to unauthorised users (confidentiality), improper modification (integrity) and non-access when required (availability).

Наиболее распространенный и всеобъемлющий стандарт по ИБ в мире

В рамках организации, информация защищена от доступа для неавторизированных лиц (конфиденциальность), несакционированной модификации (целостность) и отсутствия доступа когда требуется (доступность)

->Стандартное определение, принятое во многих ИБ стандартах (CIA concept)

Покрытие ИБ областей различными стандартами и фреймворками (до выхода Cobit 5)

Выгоды ИБ с т.зр. ISACA

Результат внедрения ИБ

• Уменьшение сложности и увеличение эффективности за счет интеграции ИБ стандартов, практик, руководств и т.д.
• Увеличение удовлетворенности клиента
• Улучшенная интеграция ИБ в организацию
• Информирование о рисках
• Улучшенные предотвращение, определение и восстановление
• Уменьшение влияния инцидентов
• Расширенная поддержка инноваций и конкуренции
• Улучшенное управление расходами на ИБ
• Лучшее понимание ИБ

• ИБ применяется повседневно
• Сотрудники принимают и уважают принципы и политики ИБ
• Наличие детальных руководств и вовлеченность сотрудников в ИБ
• Каждый несет ответственность за ИБ
• Заинтересованные стороны выявляют и реагируют на инциденты ИБ
• Руководство поддерживает и ожидает инноваций
• Подразделения сотрудничают и обмениваются информацией друг с другом
• Руководство понимает ценность ИБ для бизнеса

->Полноценная культура ИБ в организации (мечта любого руководителя)

У Cobit 5 большое будущее!