SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Фреймворк COBIT 2019

Фреймворк COBIT 2019
10.01.2022

|   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В одном ряду с наиболее авторитетными зарубежными организациями, работающими над проблематикой методического обеспечения защиты информации, такими как ISO (International Organization for Standardization, Международная организация по стандартизации), NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологии) и CIS (Center for Internet Security, Центр Интернет-Безопасности), стоит организация ISACA. Аббревиатура ISACA изначально означала Information Systems Audit and Control Association, т.е. Ассоциация по аудиту и контролю информационных систем, однако в последнее время название ISACA используется как имя собственное.


Организация ISACA была учреждена в 1969, и в настоящее время в ней состоят более 150000 участников из 188 стран мира. Организация совместно с ИБ-экспертами из различных отраслей и стран разрабатывает методические документы в области управления ИТ, информационной безопасностью и рисками (например, фреймворки COBIT, Risk IT, CMMI и другие), а также проводит сертификации специалистов по кибербезопасности и управлению киберрисками (например, CISA, CISM, CRISC, CDPSE и другие). В сегодняшней публикации мы рассмотрим фреймворк COBIT - один из наиболее авторитетных документов по информационной безопасности от ISACA.


Итак, COBIT (англ. Control Objectives for Information and Related Technologies, Контрольные показатели для информационных и смежных технологий) - это фреймворк по управлению ИТ с фокусом на информационную безопасность и управление киберрисками. Первая версия данного фреймворка увидела свет в 1996 году, в 2012 году вышла самая популярная версия COBIT 5, а в 2019 году был выпущен обновленный фреймворк COBIT 2019, который актуализирован с учетом современных киберугроз и технологий и предоставляет большую гибкость при внедрении и адаптации. COBIT 2019 построен на двух наборах принципов:


1. Принципы, описывающие требования к системе управления корпоративной информацией и технологиями:

1.1. Предоставление преимуществ для стейкхолдеров;

1.2. Целостность компонент системы управления корпоративной информацией и технологиями;

1.3. Динамичность системы управления и её адаптивность к изменениям процессов, технологий, стратегии компании;

1.4. Система управления корпоративной информацией и технологиями должна быть отделена и независима от структуры системы управления компанией;

1.5. Система управления должна отвечать требованиям и интересам компании;

1.6. Всеобъемлемость системы управления корпоративной информацией и технологиями вне зависимости от конкретного способа и места обработки информации.


2. Принципы, описывающие требования к фреймворку построения системы управления корпоративной информацией и технологиями:

2.1. Фреймворк должен быть построен на концептуальной модели, учитывающей ключевые компоненты и взаимосвязи между ними для обеспечения логической связности и возможности автоматизации;

2.2. Фреймворк должен предоставлять гибкость и открытость для соответствия изменениям в контексте и условиях;

2.3. Фреймворк должен соответствовать применимым нормам законодательства, основным стандартам и фреймворкам.


Процессы обеспечения безопасного управления корпоративной информацией и технологиями согласно COBIT 2019 разделены на 5 категорий (доменов), включающих в себя 40 процессов, которые мы приведем далее.


1. EDM (англ. Evaluate, Direct and Monitor, т.е. оценка, направление и мониторинг) - оценка вариантов действий, помощь топ-менеджменту в принятии решений и мониторинг прогресса в достижении целей, в том числе:

1.1. Разработка и внедрение фреймворка построения системы управления корпоративной информацией и технологиями;

1.2. Получение преимуществ от инвестирования в систему управления корпоративной информацией и технологиями;

1.3. Минимизация киберрисков;

1.4. Оптимизация расходования ресурсов;

1.5. Вовлечение стейкхолдеров в работу системы управления корпоративной информацией и технологиями.


2. APO (англ. Align, Plan and Organize, т.е. приведение в соответствие, планирование и организация) - управление всеми компонентами и процессами ИТ-инфраструктуры компании, в том числе:

2.1. Управление фреймворком построения системы управления корпоративной информацией и технологиями;

2.2. Управление ИТ-стратегией;

2.3. Управление корпоративной ИТ-архитектурой;

2.4. Управление инновациями;

2.5. Управление портфелем ИТ-продуктов, сервисов, программ;

2.6. Управление бюджетом и затратами;

2.7. Управление людскими ресурсами;

2.8. Управление взаимоотношениями с бизнес-стейкхолдерами;

2.9. Управление сервисными соглашениями;

2.10. Управление отношениями с производителями (вендорами);

2.11. Управление качеством процессов, процедур, результатов;

2.12. Управление киберрисками;

2.13. Управление системой менеджмента ИБ;

2.14. Управление ИТ-активами, содержащими корпоративные данные.


3. BAI (англ. Build, Acquire and Implement, т.е. создание, приобретение и внедрение) - управление ИТ-решениями и их внедрением в бизнес-процессы, в том числе:

3.1. Управление инвестиционными программами;

3.2. Управление требованиями к ИТ-решениям;

3.3. Управление выявлением подходящих ИТ-решений и их приобретением или разработкой, поддержкой, эксплуатацией;

3.4. Управление доступностью и масштабируемостью вычислительных ресурсов;

3.5. Управление организационными изменениями;

3.6. Управление изменениями в ИТ-инфраструктуре;

3.7. Управление согласованиями и процедурами внесения изменений в ИТ-инфраструктуру;

3.8. Управление знаниями;

3.9. Управление ИТ-активами;

3.10. Управление конфигурациями;

3.11. Управление ИТ-проектами.


4. DSS (англ. Deliver, Service and Support, т.е. доставка, обслуживание и поддержка) - управление функционированием ИТ-сервисов, включая их безопасность, в том числе:

4.1. Управление ИТ-операциями для бесперебойного предоставления сервисов;

4.2. Управление запросами пользователей и ИТ-инцидентами;

4.3. Управление операционными проблемами;

4.4. Управление ИТ-непрерывностью в случае сбоев;

4.5. Управление кибербезопасностью для поддержания киберрисков на приемлемом уровне и снижения ущерба от эксплуатации уязвимостей и инцидентов ИБ;

4.6. Управление средствами контроля бизнес-процессов для обеспечения безопасности обрабатываемой информации.


5. MEA (англ. Monitor, Evaluate and Assess, т.е. мониторинг, измерение и оценка) - управление достижением внутренних и внешних показателей и целей, в том числе:

5.1. Управление эффективностью и соответствием показателей;

5.2. Управление системой внутреннего контроля;

5.3. Управление соответствием законодательными и контрактным требованиям;

5.4. Управление аудитами соответствия внутренним требованиям

Подкасты ИБ Управление ИБ NIST ГОСТы и документы ИБ Стандарты ИБ

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Практическая защита персональных данных
Практическая защита персональных данных
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Геймификация SOC
Геймификация SOC
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
SGRC по закону. Финансы
SGRC по закону. Финансы
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек

Рекомендуем

Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Практическая защита персональных данных
Практическая защита персональных данных
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Безопасность переводов и оплаты товаров через СБП. Часть 2
Безопасность переводов и оплаты товаров через СБП. Часть 2
Геймификация SOC
Геймификация SOC
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 6. Обзор российского и международного законодательства в области защиты персональных данных
Модель угроз ФСТЭК
Модель угроз ФСТЭК
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Обзор публикации NIST SP 800-167 "Guide to Application Whitelisting"
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 2
SGRC по закону. Финансы
SGRC по закону. Финансы
Как организована техническая сторона защиты данных от утечек
Как организована техническая сторона защиты данных от утечек

Похожие статьи

Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них

Похожие статьи

Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 5. Обзор российского и международного законодательства в области защиты персональных данных
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Обзор публикации NIST SP 800-88 "Guidelines for Media Sanitization"
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
DDoS-атаки: что это такое и способы защиты от них
DDoS-атаки: что это такое и способы защиты от них