среда, 5 сентября 2012 г.

CobiT for Information Security: великолепная попытка

   Если кто последние 3 месяца жил в тундре не интересовался лучшими практиками, то напомню - недавно вышел CobiT 5, а чуть позже его реализация для информационной безопасности (CobiT for Information Security).
   Не буду углубляться в детали, расскажу лишь о общем впечатлении и уникальных особенностях именно этого документа:
  • + документ очень хорошо структурирован, и все то что в канонических ISO 27002\NIST 800-53 названо "утилиты\контроли" тут разделено на т.н. enablers (люди\информация\процессы и т.п.)
  • + документ (а вернее его приложения) достаточно подробен, пожалуй, конкурировать по подробности из известных документов мне может только австралийский Information Security Manual где все таки подробнее описаны и роли, и ИБ-документы и более классические процессные и технические контроли
  • + документ достаточно универсален, достаточно только сказать, что теперь безопасность встроена в каждый из контролей 5-ого кобита.
   Но, не обошлось без ложки дегтя...
  • - универсальность документа обернулась созданием некоей "параллельной" реальности, где при тех же физических законах совсем другое "расположение планет", и соответственно прежние торговые маршруты уже бесполезны... т.е. какой смысл теперь в контроле "Управление безопасностью" если безопасность встроена и в контроль "Управление ИТ-рисками", который в контексте документа полностью поглощает безопасность?...
  • - документ неполон, например, в разделе "Люди, навыки и компетенции" упоминаются роли архитектора безопасности и администратора безопасности, которые не были указаны в разделе "Организационная структура безопасности" (это не говоря уже о традиционном игнорировании вопросов защиты информации как минимум в документарной форме)
  • - ранее упомянутая мной легкая "шизофрения" ISACA никуда не исчезла - ну почему в наборе тренировочных вопросов к CISA-2012 ответ "стратегия ИБ должна соответствовать стратегии ИТ" неправильный, а в кобите для безопасности черным по белому пишут "стратегия ИБ должна соответствовать стратегии ИТ и стратегии бизнеса"? Почему information security manager должен реализовать положения политики ИБ утвержденной бордом но включен в вертикаль CIO?...
  • - документ мухлюет не совсем адекватно сравнивает кобит с другими стандартами ИБ, а именно сравнение с NIST 800-53 в отрыве от других стандартов безопасности NIST довольно странно, т.к. они всегда друг на друга ссылаются и все вместе являются вполне себе сводом знаний (к слову, вряд ли кобит достойно выдержал бы сравнение со всеми стандартами NIST сразу)
В целом - стандарт получился ярким, удобным (у меня бумажная версия), по хорошему классным, но явно обнажил свой принципиальный недостаток - он был написан ИТ-специалистами. Пока вот этот SoD-риск (ну не должны ИТ-шники писать что и зачем делать безопасникам) не будет снижен, например, выделением внутри ISACA отдельного достаточно независимого подразделения по вопросам развития ИБ - не быть кобиту целостным и универсальным документом, без всех этих подводных камней, налета раздвоения личности и игнорирования остальных форм предоставления информации.

P.S. Детали стандарта возможно почерпнуть у коллеги

Комментариев нет:

Отправить комментарий