Обзор COBIT5 for IS. Enablers. Services, Infrastructure and Applications

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Сейчас я активно изучаю COBIT5 fo IS. Про общие впечатления от документа и основные моменты я уже писал туттут и тут. Сейчас же  хочу рассказать об одном из элементов системы ИБ / движущей силе (enabler), а именно "Services, Infrastructure and Application". В порядке описания COBIT этот элемент является 6 из 7, однако, он мне особо интересен сейчас (в связи с решаемыми мной рабочими вопросами), поэтому начал именно с него.


Итак...


В текстовой части стандарта на этот элемент отведено всего 2 страницы, на которых дается стандартная для всех движущих сил (enablers) модель, содержащая Заинтересованных лиц, Цели, Жизненный цикл и Лучшие практики для рассматриваемого элемента. Особой ценности она не несет, однако, надо понимать, что все движущие силы рассматриваются именно в разрезе этих 4х сущностей. Также тут дается перечень сервисов, связанных с ИБ, на которые я сначала не обратил внимание, т.к. посчитал их просто примером типовых сервисов. Но именно они и раскрываются в Приложении А (на 11 страниц текста/таблиц). 

Общий перечень сервисов и их описание

Сервисов ИБ всего 10, каждому из них соответствует определенный набор Service Capability (я их перевожу, как направления, но это не совсем корректно):

  1. Provide a security architecture рхитектура ИБ)
  • Include IS in architecture
  • Maintain security architecture
  • Set up and maintain asset inventory
  • Provide IS configuration management
  • Set up and maintain infrastructure discovery
  • Provide security awareness (Повышение осведомленности в ИБ)
    • Provide IS communications (enabling awareness and training
  • Provide secure development (development in line with security standards) (Проектирования и планирование с учетом ИБ)
    • Develop secure coding practices
    • Develop secure infrastructure libraries
  • Provide security assessments (Оценка ИБ) 
    • Perform IS assessments
    • Perform information risk assessments
  • Provide adequately secured and configured systems, in line with security requirements and security architecture ("Усиление" ИБ)
    • Provide adequately secured hardened and configured systems, in line with IS requirements and IS architecture
    • Provide device IS protection
    • Provide physical information protection
  • Provide user access and access rights in line with business requirements (Управление правами доступа)
    • Provide authentication services
    • Provide IS provisioning services
    • Evaluate IS entity classification services
    • Provide revocation services
    • Provide user authentication and authorisation rights in line with business requirements
  • Provide adequate protection against malware, external attacks and intrusion attempts (Защита от вредоносного кода, внешних и внутренних атак)
    • Provide IS and countermeasures for threats (internal and external)
    • Provide data protection (in host, network, cloud and storage)
  • Provide adequate incident response (Реагирование на инциденты)
    • Provide IS escalation service
    • Provide IS forensics (analysis)
  • Provide security testing (Тестирование системы ИБ)
    • Perform IS testing.
  • Provide monitoring and alert services for security-related events (Мониторинг событий ИБ)
    • Provide monitoring service for IS processes and events.
    • Provide alerting and reporting service for IS practices, processes and events.
    • Provide IS measurements and metrics (key goal indicators [KGIs), key performance indicators [KPIs], etc.).

    Каждый из сервисов описывается по следующей схеме (3 таблицы):
    • Description of the Service Capability (Описание направления реализации сервиса (лучше придумать не смог)):
      • Service Capability / Наименование направления
      • Description / Краткое описание
    • Attributes (Атрибуты):
      • Service Capability / Наименование направления
      • Supporting Technology / Поддерживающая технология
      • Benefit / Преимущество использования
    • Goals (Цели):
      • Service Capability / Наименование направления
      • Quality Goal / Качественные цели
      • Metric / Метрики

    Общая идея, на что сделан основной упор:
    1. Security architecture
      • Инвентаризация активов
      •  и понимание общей ИТ-архитектуры (границы, входы/выходы, основные элементы, кол-во лицензий и их цена)
      • Управление конфигурациями элементов ИТ (корпоративные стандарты по настройке)
      • Контроль внесения изменений
      • и пр.
    2. Security awareness
      • Тренинги и повышение осведомленности (в том числе и для снижение риска проведения успешных атак с использование соц.инженерии)
      • и пр.
    3. Secure development
      • Понимание принципов и подходов ИБ при создании программных продуктов (в том числе и для web-приложений)
      • и пр.
    4. Security assessments
      • Проведение аудитов ИБ (оценка соответствия и оценка уязвимостей)
      • Проведение оценки рисков ИБ
      • и пр.
    5. Adequately secured and configured systems, aligned with security requirements and security architecture
      • Управление патчами
      • Использование виртуализации и "облаков"
      • Защита мобильных устройств
      • Обеспечение физической безопасности
      • и пр.
    6. User access and access rights in line with business requirements
      • Аутентификация пользователей
      • Анализ и контроль времени доступа
      • Категорирование и группировка пользователей по правам доступа, предоставление минимальных прав доступа
      • Возможность быстрой отмены прав доступа
      • и пр.
    7. Adequate protection against malware, external attacks and intrusion attempts
      • Криптография
      • Межсетевые экраны
      • Антивирусы
      • DLP 
      • и пр.
    8. Adequate incident response
      • Эскалация информации об инцидентах
      • Расследование/анализ инцидентов
      • и пр.
    9. Security testing
      • Тестирование на проникновение и анализ системы безопасности
      • и пр.
    10. Monitoring and alert services for security-related events
      • Управление логами / SIEM
      • KPI, KGI и другие показатели
      • и пр.


    Общие выводы

    1. С каждой новой прочитанной страницей COBIT5 мне все больше и больше нравится идея/модель выделения 7 движущих сил (Enablers). Я начинаю лучше понимать суть и проникаюсь идеей.
    2. Обратите внимание! В этом блоке дается упор именно на связь сервисов/приложений/инфраструктуры, т.е. скорее на средства защиты и мониторинга, нежели на сами процедуры. Это очень важно для понимания идеологии COBIT5. Процедуры, организационные структуры и пр. вынесены в отдельные движущие силы (Enablers). Это хорошо видно на примере сервиса по управлению инцидентами. В данном блоке инциденты рассматриваются не с точки зрения того, как быстро восстановить работу систем (что является основной целью процесса управления инцидентами), а каким образом можно получать информацию об уязвимостях и патчах, какими средствами расследовать инциденты.
    3. Считаю, что сама идея выделения сервисов ИБ очень здравая, но приведенная группировка не самая удачная. В существующем виде ее не удобно использовать. Вот, что мне бросилось в глаза:
    • Некоторые сервисы намного шире других и по технологиям и по рекомендациям (например 7й в сравнении со 2м)
    • 4й и 6й сервисы частично дублируют друг друга в части сетевой безопасности
    • Не удобно то, что сервис Security testing выделен в отдельный сервис, а не объединен с  Security assessments. Аналогично и  Monitoring and alert services for security-related events мог бы быть включен в Security assessments
    1. Порадовало наличие метрик под конкретные сервисы ИБ. Например, в том же СУИБ по ISO 27001 требуется мониторить и проводить анализ ИБ. Для этих процессов обычно и используются метрики. При этом в ISO 27001/27002 примеров метрик нет, а в ISO 27004 явно не полный и не самый удобный перечень (про это писал тут). Поэтому метрики из COBIT5 for IS хорошо дополняют картину, позволяют взглянуть на задачу оценки ИБ с другой стороны.
    2. Оцените материал:
      Total votes: 70
       
      Комментарии в Facebook
       

      Вы сообщаете об ошибке в следующем тексте:
      Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.