четверг, 24 января 2013 г.

Услуги ИБ: Маркетинг. Часть 1 - Американский подход

   Продолжая наш разговор о услугах ИБ поговорим о главном вопросе маркетинга - что же нужно заказчику?
    И что бы не "изобретать велосипед" посмотрим какие таксономии услуг безопасности уже придумали до нас:
  1. Таксономия от NIST (NIST 800-35) включает в себя 3 категории услуг  - управленческие (политика безопасности, управление рисками, управление программой безопасности, сертификация и аттестация, оценка продукта безопасности и управление архитектурой безопасности), операционные (ОНД, управление инцидентами, повышение осведомленности+обучение) и технические (проектирование, внедрение, управление и мониторинг межсетевых экранов, систем обнаружения вторжений и ИОК) услуги;
  2. Таксономия от CERT университета Карнеги-Меллон (ссылка) - снова 3 категории - реактивные (осведомленность об угрозах, реагирование на инциденты, уязвимости и т.н. артефакты - т.е. необычные факты и ситуации), проактивные (мониторинг новых технологий безопасности, аудиты безопасности, проектирование, внедрение\разработка и поддержка инфраструктуры безопасности в т.ч. в первую очередь систем предотвращения вторжений и пр.) и управленческие (анализ рисков, ОНД, управление осведомленностью пользователей и оценка соответстия\сертификация ИТ-продуктов) услуги;
  3. Таксономия от Ассоциации ИТ-директоров органов исполнительной власти США ( NASCIO) - категории уже только 2 - управленческие (ОНД, управление программой безопасности, управление осведомленностью пользователей, управление безопасностью в ИТ-проектах и внутренний аудит ИБ) и операционные (мониторинг событий безопасности, реагирование на инциденты и их расследование, управление уязвимостями и угрозами, управление сетевыми зонами безопасности, защита конечных точек, управление физической безопасностью и управление доступом) услуги;
  4. Таксономия от ISACA (CobIT 5 for Information Security) не делит услуги на категории и насчитывает 10 услуг - управление архитектурой безопасности, управление осведомленностью пользователей, безопасная разработка, безопасная конфигурация, аудиты безопасности, управление доступом, защита от внешних атак, реагирование на инциденты, мониторинг событий и анализ защищенности. Отдельно отмечу, что на основе данной таксономии строить услугу несравненно удобнее чем на основе других - в ней четко указаны необходимые активы - например сканеры кода, цели предоставления услуги  и ее метрики (хотя иногда и не очень конкретные).
   Если посмотреть на данные определяемые данными таксономиями услуги то они прежде всего напоминают... процессы ИБ. Например, как может быть услугой относительно абстрактное "Управление инцидентами"? Какими инцидентами? На какой бизнес-результат влияют эти инциденты? Или хотя бы в рамках защиты какой технологии производится это управление (раз уж мы не в силах выйти на бизнес-результат\бизнес-процесс)?...
   Получается, что без дополнительного анализа все же не обойтись. Но все же зафиксируем текущее положение вещей - известные заокеанские практики по большей части приравнивают процессы ИБ к услугам ИБ и (о ужас!) ничего не говорят о священных коровах ITIL (и ИТ-услуг в принципе) - заказчиках и бизнес-ценности. Такой подход мы назовем "Процессно-ориентированное предоставление ИБ-услуг" (кстати, Cobit 5 for Information Security рассказывает о ИБ-услугах именно в таком подходе). Внимательный читатель заметил, что в таксономии от американских ИТ-директоров все же есть отступления от процессно-ориентированного подхода, а именно услуги защиты конечных точек и управления сетевыми зонами безопасности. Такой подход мы назовем "смешанным" но подробно останавливаться в будущем на нем вряд ли будем.
   Так же в прошлом разговоре мы затронули тему классификации услуг по их природе, и получили 3 вида с условными обозначениями "вмененные", "добровольные" и "управленческие". Понятно, что процессно-ориентированный подход делает возможным предоставление услуг только одному заказчику - CEO (пусть он и делегирует свои полномочия в части безопасности CSO - разницы нет), со всеми вытекающими, т.е. "вмененностью", едиными для всей организации метриками и одинаковой для всех ценой.
   Кстати, "процессно-ориентированный" подход предоставления услуг не очень бьется с более зрелой практикой - ответственностью за владение активами. Право, как бизнес может отвечать за безопасность своих активов если он не может контролировать контрмеры для обеспечения безопасности?...

   Что же, засим откланяюсь. В следующий раз поговорим о подходе ITIL

Комментариев нет:

Отправить комментарий