четверг, 11 октября 2012 г.

Безопасность в ITILv3

   На протяжении последних 5-и месяцев потратил много усилий что бы сдать 5 экзаменов из серии ITIL Intermediate, и вот выводами в части ИБ хотелось бы поделиться.
   Начать хотелось бы с того, что ITIL довольно странно описывает безопасность - с одной стороны, безопасность "намертво" интегрирована в рутинные процессы (управление событиями, инцидентами и т.п.), с другой - ключевой управляющий процесс безопасности Information Security Management это единственный процесс книжки Проектирование сервисов, который руководствуется требованиями совета директоров (второй раз совет директоров всплывет аж в книжке Стратегия услуг, где, кстати о безопасности почти ничего нет).
   Обьясняется это довольно просто - это не ИТ хочет заниматься безопасностью, это из-за все большего проникновения ИТ в нашу жизнь на ИТ навешивают безопасность (точка зрения из найденного официального исследования), кстати, теоретически так могло бы быть и с CobiT, но если ITILv3 по сравнению с ITILv2 убрал отдельную книгу о безопасности, то CobiT 5 наоборот выпустил таковую..
   Т.е. получается - и нести тяжко, и бросить не дают... но что же, посмотрим как соотносится информация в 5-и основных книжках ITIL и домены классического CBK:
  1. Access control - описан в отдельном процессе книги Предоставление услуг (Service Operation) - Access Management
  2. Telecommunications and network security - практически не описан, пересечение есть только с функциями Technical Management и IT Operation Management книги Предоставление услуг, которые должны обеспечивать "и безопасность тоже"
  3. Information security governance and risk management - описан в основном процессе безопасности Information security management, так же затронут в процессе  Strategy Management for IT Services (книга Стратегия услуг), но с выделенным риск менеджментом в ITILv3 вообще как-то не очень - риски вроде есть везде, но конкретно о них почти ничего нет... 
  4. Software development security -  практически не описан, что и не удивительно, учитывая что технологии вообще не описаны в ITIL (т.е. out of scope) 
  5. Cryptography -  аналогично п. 4
  6. Security architecture and design - аналогично п. 4
  7. Operations security - описаны в процессах Change management, Service asset and configuration management, и других, в общем - в книгах Преобразование (Service Transition) и Предоставление услуг
  8. Business continuity and disaster recovery planning -  описан в отдельном процессе книги Проектирование услуг (Service Design) - IT Service Continuity Management
  9. Legal, regulations, investigations and compliance - разделено между процессами Information Security Management и Strategy Management for IT Services
  10. Physical (environmental) security - описано как часть обязанностей ф-ции IT Operations Management
   Несмотря на то, что картина вроде бы складывается не самая радостная - "ну и где безопасность в ITIL?" - все не так плохо.. мелкие контрольные практики и процедуры безопасности есть практически везде, но все же они попадаются реже чем аналогичные для других процессов обеспечения качества услуг книги Проектирования услуг - Управления доступностью, Управления мощностью и Управления непрерывностью предоставления ИТ-услуг.

   Вердикт - безопасность в ITIL лучше не искать, лучше сразу обращаться к ISO 27001 на который ITIL постоянно ссылается в части безопасности... а вот проектирование и внедрение процессов (в т.ч. безопасности) в ITIL описано в разы лучше любой другой литературы относящейся к ИТ-безопасности хоть каким-либо боком. Но это тема уже другой истории...

Комментариев нет:

Отправить комментарий