SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Фреймворк COBIT 2019

Фреймворк COBIT 2019

|   Слушать на Mave  |   Слушать на Яндекс Музыке  |   


Руслан Рахметов, Security Vision


В одном ряду с наиболее авторитетными зарубежными организациями, работающими над проблематикой методического обеспечения защиты информации, такими как ISO (International Organization for Standardization, Международная организация по стандартизации), NIST (National Institute of Standards and Technology, Национальный институт стандартов и технологии) и CIS (Center for Internet Security, Центр Интернет-Безопасности), стоит организация ISACA. Аббревиатура ISACA изначально означала Information Systems Audit and Control Association, т.е. Ассоциация по аудиту и контролю информационных систем, однако в последнее время название ISACA используется как имя собственное.


Организация ISACA была учреждена в 1969, и в настоящее время в ней состоят более 150000 участников из 188 стран мира. Организация совместно с ИБ-экспертами из различных отраслей и стран разрабатывает методические документы в области управления ИТ, информационной безопасностью и рисками (например, фреймворки COBIT, Risk IT, CMMI и другие), а также проводит сертификации специалистов по кибербезопасности и управлению киберрисками (например, CISA, CISM, CRISC, CDPSE и другие). В сегодняшней публикации мы рассмотрим фреймворк COBIT - один из наиболее авторитетных документов по информационной безопасности от ISACA.


Итак, COBIT (англ. Control Objectives for Information and Related Technologies, Контрольные показатели для информационных и смежных технологий) - это фреймворк по управлению ИТ с фокусом на информационную безопасность и управление киберрисками. Первая версия данного фреймворка увидела свет в 1996 году, в 2012 году вышла самая популярная версия COBIT 5, а в 2019 году был выпущен обновленный фреймворк COBIT 2019, который актуализирован с учетом современных киберугроз и технологий и предоставляет большую гибкость при внедрении и адаптации. COBIT 2019 построен на двух наборах принципов:


1. Принципы, описывающие требования к системе управления корпоративной информацией и технологиями:

1.1. Предоставление преимуществ для стейкхолдеров;

1.2. Целостность компонент системы управления корпоративной информацией и технологиями;

1.3. Динамичность системы управления и её адаптивность к изменениям процессов, технологий, стратегии компании;

1.4. Система управления корпоративной информацией и технологиями должна быть отделена и независима от структуры системы управления компанией;

1.5. Система управления должна отвечать требованиям и интересам компании;

1.6. Всеобъемлемость системы управления корпоративной информацией и технологиями вне зависимости от конкретного способа и места обработки информации.


2. Принципы, описывающие требования к фреймворку построения системы управления корпоративной информацией и технологиями:

2.1. Фреймворк должен быть построен на концептуальной модели, учитывающей ключевые компоненты и взаимосвязи между ними для обеспечения логической связности и возможности автоматизации;

2.2. Фреймворк должен предоставлять гибкость и открытость для соответствия изменениям в контексте и условиях;

2.3. Фреймворк должен соответствовать применимым нормам законодательства, основным стандартам и фреймворкам.


Процессы обеспечения безопасного управления корпоративной информацией и технологиями согласно COBIT 2019 разделены на 5 категорий (доменов), включающих в себя 40 процессов, которые мы приведем далее.


1. EDM (англ. Evaluate, Direct and Monitor, т.е. оценка, направление и мониторинг) - оценка вариантов действий, помощь топ-менеджменту в принятии решений и мониторинг прогресса в достижении целей, в том числе:

1.1. Разработка и внедрение фреймворка построения системы управления корпоративной информацией и технологиями;

1.2. Получение преимуществ от инвестирования в систему управления корпоративной информацией и технологиями;

1.3. Минимизация киберрисков;

1.4. Оптимизация расходования ресурсов;

1.5. Вовлечение стейкхолдеров в работу системы управления корпоративной информацией и технологиями.


2. APO (англ. Align, Plan and Organize, т.е. приведение в соответствие, планирование и организация) - управление всеми компонентами и процессами ИТ-инфраструктуры компании, в том числе:

2.1. Управление фреймворком построения системы управления корпоративной информацией и технологиями;

2.2. Управление ИТ-стратегией;

2.3. Управление корпоративной ИТ-архитектурой;

2.4. Управление инновациями;

2.5. Управление портфелем ИТ-продуктов, сервисов, программ;

2.6. Управление бюджетом и затратами;

2.7. Управление людскими ресурсами;

2.8. Управление взаимоотношениями с бизнес-стейкхолдерами;

2.9. Управление сервисными соглашениями;

2.10. Управление отношениями с производителями (вендорами);

2.11. Управление качеством процессов, процедур, результатов;

2.12. Управление киберрисками;

2.13. Управление системой менеджмента ИБ;

2.14. Управление ИТ-активами, содержащими корпоративные данные.


3. BAI (англ. Build, Acquire and Implement, т.е. создание, приобретение и внедрение) - управление ИТ-решениями и их внедрением в бизнес-процессы, в том числе:

3.1. Управление инвестиционными программами;

3.2. Управление требованиями к ИТ-решениям;

3.3. Управление выявлением подходящих ИТ-решений и их приобретением или разработкой, поддержкой, эксплуатацией;

3.4. Управление доступностью и масштабируемостью вычислительных ресурсов;

3.5. Управление организационными изменениями;

3.6. Управление изменениями в ИТ-инфраструктуре;

3.7. Управление согласованиями и процедурами внесения изменений в ИТ-инфраструктуру;

3.8. Управление знаниями;

3.9. Управление ИТ-активами;

3.10. Управление конфигурациями;

3.11. Управление ИТ-проектами.


4. DSS (англ. Deliver, Service and Support, т.е. доставка, обслуживание и поддержка) - управление функционированием ИТ-сервисов, включая их безопасность, в том числе:

4.1. Управление ИТ-операциями для бесперебойного предоставления сервисов;

4.2. Управление запросами пользователей и ИТ-инцидентами;

4.3. Управление операционными проблемами;

4.4. Управление ИТ-непрерывностью в случае сбоев;

4.5. Управление кибербезопасностью для поддержания киберрисков на приемлемом уровне и снижения ущерба от эксплуатации уязвимостей и инцидентов ИБ;

4.6. Управление средствами контроля бизнес-процессов для обеспечения безопасности обрабатываемой информации.


5. MEA (англ. Monitor, Evaluate and Assess, т.е. мониторинг, измерение и оценка) - управление достижением внутренних и внешних показателей и целей, в том числе:

5.1. Управление эффективностью и соответствием показателей;

5.2. Управление системой внутреннего контроля;

5.3. Управление соответствием законодательными и контрактным требованиям;

5.4. Управление аудитами соответствия внутренним требованиям

Подкасты ИБ Управление ИБ NIST Стандарты, ГОСТы и документы ИБ

Похожие статьи

ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Безопасность приложений
Безопасность приложений
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5

Похожие статьи

ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
ARP-спуфинг (ARP spoofing, ARP poisoning): что это такое
Безопасность приложений
Безопасность приложений
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Три слона, на которых держится логирование в Windows
Три слона, на которых держится логирование в Windows
API на передовой: методы противостояния кибератакам
API на передовой: методы противостояния кибератакам
Защита данных и носителей информации от вирусов и взлома
Защита данных и носителей информации от вирусов и взлома
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Интернет вещей и безопасность
Интернет вещей и безопасность
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5
Возможности новой версии продукта «Управление активами и инвентаризацией» на платформе Security Vision 5