Продолжая наш разговор о услугах ИБ поговорим о главном вопросе маркетинга - что же нужно заказчику?
И что бы не "изобретать велосипед" посмотрим какие таксономии услуг безопасности уже придумали до нас:
Получается, что без дополнительного анализа все же не обойтись. Но все же зафиксируем текущее положение вещей - известные заокеанские практики по большей части приравнивают процессы ИБ к услугам ИБ и (о ужас!) ничего не говорят о священных коровах ITIL (и ИТ-услуг в принципе) - заказчиках и бизнес-ценности. Такой подход мы назовем "Процессно-ориентированное предоставление ИБ-услуг" (кстати, Cobit 5 for Information Security рассказывает о ИБ-услугах именно в таком подходе). Внимательный читатель заметил, что в таксономии от американских ИТ-директоров все же есть отступления от процессно-ориентированного подхода, а именно услуги защиты конечных точек и управления сетевыми зонами безопасности. Такой подход мы назовем "смешанным" но подробно останавливаться в будущем на нем вряд ли будем.
Так же в прошлом разговоре мы затронули тему классификации услуг по их природе, и получили 3 вида с условными обозначениями "вмененные", "добровольные" и "управленческие". Понятно, что процессно-ориентированный подход делает возможным предоставление услуг только одному заказчику - CEO (пусть он и делегирует свои полномочия в части безопасности CSO - разницы нет), со всеми вытекающими, т.е. "вмененностью", едиными для всей организации метриками и одинаковой для всех ценой.
Кстати, "процессно-ориентированный" подход предоставления услуг не очень бьется с более зрелой практикой - ответственностью за владение активами. Право, как бизнес может отвечать за безопасность своих активов если он не может контролировать контрмеры для обеспечения безопасности?...
Что же, засим откланяюсь. В следующий раз поговорим о подходе ITIL
И что бы не "изобретать велосипед" посмотрим какие таксономии услуг безопасности уже придумали до нас:
- Таксономия от NIST (NIST 800-35) включает в себя 3 категории услуг - управленческие (политика безопасности, управление рисками, управление программой безопасности, сертификация и аттестация, оценка продукта безопасности и управление архитектурой безопасности), операционные (ОНД, управление инцидентами, повышение осведомленности+обучение) и технические (проектирование, внедрение, управление и мониторинг межсетевых экранов, систем обнаружения вторжений и ИОК) услуги;
- Таксономия от CERT университета Карнеги-Меллон (ссылка) - снова 3 категории - реактивные (осведомленность об угрозах, реагирование на инциденты, уязвимости и т.н. артефакты - т.е. необычные факты и ситуации), проактивные (мониторинг новых технологий безопасности, аудиты безопасности, проектирование, внедрение\разработка и поддержка инфраструктуры безопасности в т.ч. в первую очередь систем предотвращения вторжений и пр.) и управленческие (анализ рисков, ОНД, управление осведомленностью пользователей и оценка соответстия\сертификация ИТ-продуктов) услуги;
- Таксономия от Ассоциации ИТ-директоров органов исполнительной власти США ( NASCIO) - категории уже только 2 - управленческие (ОНД, управление программой безопасности, управление осведомленностью пользователей, управление безопасностью в ИТ-проектах и внутренний аудит ИБ) и операционные (мониторинг событий безопасности, реагирование на инциденты и их расследование, управление уязвимостями и угрозами, управление сетевыми зонами безопасности, защита конечных точек, управление физической безопасностью и управление доступом) услуги;
- Таксономия от ISACA (CobIT 5 for Information Security) не делит услуги на категории и насчитывает 10 услуг - управление архитектурой безопасности, управление осведомленностью пользователей, безопасная разработка, безопасная конфигурация, аудиты безопасности, управление доступом, защита от внешних атак, реагирование на инциденты, мониторинг событий и анализ защищенности. Отдельно отмечу, что на основе данной таксономии строить услугу несравненно удобнее чем на основе других - в ней четко указаны необходимые активы - например сканеры кода, цели предоставления услуги и ее метрики (хотя иногда и не очень конкретные).
Получается, что без дополнительного анализа все же не обойтись. Но все же зафиксируем текущее положение вещей - известные заокеанские практики по большей части приравнивают процессы ИБ к услугам ИБ и (о ужас!) ничего не говорят о священных коровах ITIL (и ИТ-услуг в принципе) - заказчиках и бизнес-ценности. Такой подход мы назовем "Процессно-ориентированное предоставление ИБ-услуг" (кстати, Cobit 5 for Information Security рассказывает о ИБ-услугах именно в таком подходе). Внимательный читатель заметил, что в таксономии от американских ИТ-директоров все же есть отступления от процессно-ориентированного подхода, а именно услуги защиты конечных точек и управления сетевыми зонами безопасности. Такой подход мы назовем "смешанным" но подробно останавливаться в будущем на нем вряд ли будем.
Так же в прошлом разговоре мы затронули тему классификации услуг по их природе, и получили 3 вида с условными обозначениями "вмененные", "добровольные" и "управленческие". Понятно, что процессно-ориентированный подход делает возможным предоставление услуг только одному заказчику - CEO (пусть он и делегирует свои полномочия в части безопасности CSO - разницы нет), со всеми вытекающими, т.е. "вмененностью", едиными для всей организации метриками и одинаковой для всех ценой.
Кстати, "процессно-ориентированный" подход предоставления услуг не очень бьется с более зрелой практикой - ответственностью за владение активами. Право, как бизнес может отвечать за безопасность своих активов если он не может контролировать контрмеры для обеспечения безопасности?...
Что же, засим откланяюсь. В следующий раз поговорим о подходе ITIL
Комментариев нет:
Отправить комментарий