На протяжении последних 5-и месяцев потратил много усилий что бы сдать 5 экзаменов из серии ITIL Intermediate, и вот выводами в части ИБ хотелось бы поделиться.
Начать хотелось бы с того, что ITIL довольно странно описывает безопасность - с одной стороны, безопасность "намертво" интегрирована в рутинные процессы (управление событиями, инцидентами и т.п.), с другой - ключевой управляющий процесс безопасности Information Security Management это единственный процесс книжки Проектирование сервисов, который руководствуется требованиями совета директоров (второй раз совет директоров всплывет аж в книжке Стратегия услуг, где, кстати о безопасности почти ничего нет).
Обьясняется это довольно просто - это не ИТ хочет заниматься безопасностью, это из-за все большего проникновения ИТ в нашу жизнь на ИТ навешивают безопасность (точка зрения из найденного официального исследования), кстати, теоретически так могло бы быть и с CobiT, но если ITILv3 по сравнению с ITILv2 убрал отдельную книгу о безопасности, то CobiT 5 наоборот выпустил таковую..
Т.е. получается - и нести тяжко, и бросить не дают... но что же, посмотрим как соотносится информация в 5-и основных книжках ITIL и домены классического CBK:
Вердикт - безопасность в ITIL лучше не искать, лучше сразу обращаться к ISO 27001 на который ITIL постоянно ссылается в части безопасности... а вот проектирование и внедрение процессов (в т.ч. безопасности) в ITIL описано в разы лучше любой другой литературы относящейся к ИТ-безопасности хоть каким-либо боком. Но это тема уже другой истории...
Начать хотелось бы с того, что ITIL довольно странно описывает безопасность - с одной стороны, безопасность "намертво" интегрирована в рутинные процессы (управление событиями, инцидентами и т.п.), с другой - ключевой управляющий процесс безопасности Information Security Management это единственный процесс книжки Проектирование сервисов, который руководствуется требованиями совета директоров (второй раз совет директоров всплывет аж в книжке Стратегия услуг, где, кстати о безопасности почти ничего нет).
Обьясняется это довольно просто - это не ИТ хочет заниматься безопасностью, это из-за все большего проникновения ИТ в нашу жизнь на ИТ навешивают безопасность (точка зрения из найденного официального исследования), кстати, теоретически так могло бы быть и с CobiT, но если ITILv3 по сравнению с ITILv2 убрал отдельную книгу о безопасности, то CobiT 5 наоборот выпустил таковую..
Т.е. получается - и нести тяжко, и бросить не дают... но что же, посмотрим как соотносится информация в 5-и основных книжках ITIL и домены классического CBK:
- Access control - описан в отдельном процессе книги Предоставление услуг (Service Operation) - Access Management
- Telecommunications and network security - практически не описан, пересечение есть только с функциями Technical Management и IT Operation Management книги Предоставление услуг, которые должны обеспечивать "и безопасность тоже"
- Information security governance and risk management - описан в основном процессе безопасности Information security management, так же затронут в процессе Strategy Management for IT Services (книга Стратегия услуг), но с выделенным риск менеджментом в ITILv3 вообще как-то не очень - риски вроде есть везде, но конкретно о них почти ничего нет...
- Software development security - практически не описан, что и не удивительно, учитывая что технологии вообще не описаны в ITIL (т.е. out of scope)
- Cryptography - аналогично п. 4
- Security architecture and design - аналогично п. 4
- Operations security - описаны в процессах Change management, Service asset and configuration management, и других, в общем - в книгах Преобразование (Service Transition) и Предоставление услуг
- Business continuity and disaster recovery planning - описан в отдельном процессе книги Проектирование услуг (Service Design) - IT Service Continuity Management
- Legal, regulations, investigations and compliance - разделено между процессами Information Security Management и Strategy Management for IT Services
- Physical (environmental) security - описано как часть обязанностей ф-ции IT Operations Management
Вердикт - безопасность в ITIL лучше не искать, лучше сразу обращаться к ISO 27001 на который ITIL постоянно ссылается в части безопасности... а вот проектирование и внедрение процессов (в т.ч. безопасности) в ITIL описано в разы лучше любой другой литературы относящейся к ИТ-безопасности хоть каким-либо боком. Но это тема уже другой истории...
Комментариев нет:
Отправить комментарий