Фреймворк COBIT 2019

Руслан Рахметов, Security Vision

В одном ряду с наиболее авторитетными зарубежными организациями, работающими над проблематикой методического обеспечения защиты информации, такими как ISO (International Organization for Standardization, Международная организация по стандартизации), NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологии) и CIS (Center for Internet Security, Центр Интернет-Безопасности), стоит организация ISACA. Аббревиатура ISACA изначально означала Information Systems Audit and Control Association, т.е. Ассоциация по аудиту и контролю информационных систем, однако в последнее время название ISACA используется как имя собственное.

Организация ISACA была учреждена в 1969, и в настоящее время в ней состоят более 150000 участников из 188 стран мира. Организация совместно с ИБ-экспертами из различных отраслей и стран разрабатывает методические документы в области управления ИТ, информационной безопасностью и рисками (например, фреймворки COBIT, Risk IT, CMMI и другие), а также проводит сертификации специалистов по кибербезопасности и управлению киберрисками (например, CISA, CISM, CRISC, CDPSE и другие). В сегодняшней публикации мы рассмотрим фреймворк COBIT - один из наиболее авторитетных документов по информационной безопасности от ISACA.

Итак, COBIT (англ. Control Objectives for Information and Related Technologies, Контрольные показатели для информационных и смежных технологий) - это фреймворк по управлению ИТ с фокусом на информационную безопасность и управление киберрисками. Первая версия данного фреймворка увидела свет в 1996 году, в 2012 году вышла самая популярная версия COBIT 5, а в 2019 году был выпущен обновленный фреймворк COBIT 2019, который актуализирован с учетом современных киберугроз и технологий и предоставляет большую гибкость при внедрении и адаптации. COBIT 2019 построен на двух наборах принципов:

1. Принципы, описывающие требования к системе управления корпоративной информацией и технологиями:

1.1. Предоставление преимуществ для стейкхолдеров;

1.2. Целостность компонент системы управления корпоративной информацией и технологиями;

1.3. Динамичность системы управления и её адаптивность к изменениям процессов, технологий, стратегии компании;

1.4. Система управления корпоративной информацией и технологиями должна быть отделена и независима от структуры системы управления компанией;

1.5. Система управления должна отвечать требованиям и интересам компании;

1.6. Всеобъемлемость системы управления корпоративной информацией и технологиями вне зависимости от конкретного способа и места обработки информации.

2. Принципы, описывающие требования к фреймворку построения системы управления корпоративной информацией и технологиями:

2.1. Фреймворк должен быть построен на концептуальной модели, учитывающей ключевые компоненты и взаимосвязи между ними для обеспечения логической связности и возможности автоматизации;

2.2. Фреймворк должен предоставлять гибкость и открытость для соответствия изменениям в контексте и условиях;

2.3. Фреймворк должен соответствовать применимым нормам законодательства, основным стандартам и фреймворкам.

Процессы обеспечения безопасного управления корпоративной информацией и технологиями согласно COBIT 2019 разделены на 5 категорий (доменов), включающих в себя 40 процессов, которые мы приведем далее.

1. EDM (англ. Evaluate, Direct and Monitor, т.е. оценка, направление и мониторинг) - оценка вариантов действий, помощь топ-менеджменту в принятии решений и мониторинг прогресса в достижении целей, в том числе:

1.1. Разработка и внедрение фреймворка построения системы управления корпоративной информацией и технологиями;

1.2. Получение преимуществ от инвестирования в систему управления корпоративной информацией и технологиями;

1.3. Минимизация киберрисков;

1.4. Оптимизация расходования ресурсов;

1.5. Вовлечение стейкхолдеров в работу системы управления корпоративной информацией и технологиями.

2. APO (англ. Align, Plan and Organize, т.е. приведение в соответствие, планирование и организация) - управление всеми компонентами и процессами ИТ-инфраструктуры компании, в том числе:

2.1. Управление фреймворком построения системы управления корпоративной информацией и технологиями;

2.2. Управление ИТ-стратегией;

2.3. Управление корпоративной ИТ-архитектурой;

2.4. Управление инновациями;

2.5. Управление портфелем ИТ-продуктов, сервисов, программ;

2.6. Управление бюджетом и затратами;

2.7. Управление людскими ресурсами;

2.8. Управление взаимоотношениями с бизнес-стейкхолдерами;

2.9. Управление сервисными соглашениями;

2.10. Управление отношениями с производителями (вендорами);

2.11. Управление качеством процессов, процедур, результатов;

2.12. Управление киберрисками;

2.13. Управление системой менеджмента ИБ;

2.14. Управление ИТ-активами, содержащими корпоративные данные.

3. BAI (англ. Build, Acquire and Implement, т.е. создание, приобретение и внедрение) - управление ИТ-решениями и их внедрением в бизнес-процессы, в том числе:

3.1. Управление инвестиционными программами;

3.2. Управление требованиями к ИТ-решениям;

3.3. Управление выявлением подходящих ИТ-решений и их приобретением или разработкой, поддержкой, эксплуатацией;

3.4. Управление доступностью и масштабируемостью вычислительных ресурсов;

3.5. Управление организационными изменениями;

3.6. Управление изменениями в ИТ-инфраструктуре;

3.7. Управление согласованиями и процедурами внесения изменений в ИТ-инфраструктуру;

3.8. Управление знаниями;

3.9. Управление ИТ-активами;

3.10. Управление конфигурациями;

3.11. Управление ИТ-проектами.

4. DSS (англ. Deliver, Service and Support, т.е. доставка, обслуживание и поддержка) - управление функционированием ИТ-сервисов, включая их безопасность, в том числе:

4.1. Управление ИТ-операциями для бесперебойного предоставления сервисов;

4.2. Управление запросами пользователей и ИТ-инцидентами;

4.3. Управление операционными проблемами;

4.4. Управление ИТ-непрерывностью в случае сбоев;

4.5. Управление кибербезопасностью для поддержания киберрисков на приемлемом уровне и снижения ущерба от эксплуатации уязвимостей и инцидентов ИБ;

4.6. Управление средствами контроля бизнес-процессов для обеспечения безопасности обрабатываемой информации.

5. MEA (англ. Monitor, Evaluate and Assess, т.е. мониторинг, измерение и оценка) - управление достижением внутренних и внешних показателей и целей, в том числе:

5.1. Управление эффективностью и соответствием показателей;

5.2. Управление системой внутреннего контроля;

5.3. Управление соответствием законодательными и контрактным требованиям;

5.4. Управление аудитами соответствия внутренним требованиям