Если кто последние 3 месяца жил в тундре не интересовался лучшими практиками, то напомню - недавно вышел CobiT 5, а чуть позже его реализация для информационной безопасности (CobiT for Information Security).
Не буду углубляться в детали, расскажу лишь о общем впечатлении и уникальных особенностях именно этого документа:
P.S. Детали стандарта возможно почерпнуть у коллеги
Не буду углубляться в детали, расскажу лишь о общем впечатлении и уникальных особенностях именно этого документа:
- + документ очень хорошо структурирован, и все то что в канонических ISO 27002\NIST 800-53 названо "утилиты\контроли" тут разделено на т.н. enablers (люди\информация\процессы и т.п.)
- + документ (а вернее его приложения) достаточно подробен, пожалуй, конкурировать по подробности из известных документов мне может только австралийский Information Security Manual где все таки подробнее описаны и роли, и ИБ-документы и более классические процессные и технические контроли
- + документ достаточно универсален, достаточно только сказать, что теперь безопасность встроена в каждый из контролей 5-ого кобита.
- - универсальность документа обернулась созданием некоей "параллельной" реальности, где при тех же физических законах совсем другое "расположение планет", и соответственно прежние торговые маршруты уже бесполезны... т.е. какой смысл теперь в контроле "Управление безопасностью" если безопасность встроена и в контроль "Управление ИТ-рисками", который в контексте документа полностью поглощает безопасность?...
- - документ неполон, например, в разделе "Люди, навыки и компетенции" упоминаются роли архитектора безопасности и администратора безопасности, которые не были указаны в разделе "Организационная структура безопасности" (это не говоря уже о традиционном игнорировании вопросов защиты информации как минимум в документарной форме)
- - ранее упомянутая мной легкая "шизофрения" ISACA никуда не исчезла - ну почему в наборе тренировочных вопросов к CISA-2012 ответ "стратегия ИБ должна соответствовать стратегии ИТ" неправильный, а в кобите для безопасности черным по белому пишут "стратегия ИБ должна соответствовать стратегии ИТ и стратегии бизнеса"? Почему information security manager должен реализовать положения политики ИБ утвержденной бордом но включен в вертикаль CIO?...
- - документ
мухлюетне совсем адекватно сравнивает кобит с другими стандартами ИБ, а именно сравнение с NIST 800-53 в отрыве от других стандартов безопасности NIST довольно странно, т.к. они всегда друг на друга ссылаются и все вместе являются вполне себе сводом знаний (к слову, вряд ли кобит достойно выдержал бы сравнение со всеми стандартами NIST сразу)
P.S. Детали стандарта возможно почерпнуть у коллеги
Комментариев нет:
Отправить комментарий