Артемий Пономарев - Обзор процессов для построения кибербезопасности
Название: | Обзор процессов для построения кибербезопасности | |
Автор: | Артемий Пономарев | |
Жанр: | Учебники и самоучители по компьютеру | |
Изадано в серии: | неизвестно | |
Издательство: | неизвестно | |
Год издания: | - | |
ISBN: | неизвестно | |
Отзывы: | Комментировать | |
Рейтинг: | ||
Поделись книгой с друзьями! Помощь сайту: донат на оплату сервера |
Краткое содержание книги "Обзор процессов для построения кибербезопасности"
Читаем онлайн "Обзор процессов для построения кибербезопасности". Главная страница.
- 1
- 2
- 3
- . . .
- последняя (11) »
Обзор процессов
для построения
кибербезопасности
в организации
Автор:
Пономарев Артемий
Старший специалист группы
методологии управления ИБ
Оглавление
1. Введение
2. Архитектура организации с различных перспектив
3. Определение процессов ИБ для фреймворка процессной модели
3.1 IT-процессы организации
3.1.1 Процессы ИБ в COBIT 5
3.1.2 Процессы с сильным влиянием ИБ
3.1.3 Процессы IT, в исполнении которых функция ИБ заинтересована
3.1.4 Процессы ИБ, связанные с объемом функции ИБ
3.2 HR-процессы организации
3.3 Физическая охрана IT-активов
3.4 Юридическая поддержка
3.5 Корпоративная система управления рисками
3.6 Непрерывность деятельности
4. Фреймворк процессной модели ИБ
5. Заключение
Обзор процессов для построения кибербезопасности в организации
1. Введение
В настоящее время не существует стандарта, описывающего процессы ИБ в организации,
поэтому
каждая
организация
строит систему
обеспечения
ИБ,
основываясь
на
своем
представлении о целевой картине.
Для IT существуют фреймворки, которые описывают процессы (практики), необходимые для
построения
эффективной
системы
управления
IT.
В
информационной
безопасности
существует только стандарт ISO/IEC 27001, который устанавливает требования к тому, что
необходимо сделать (или делать) для построения системы управления информационной
безопасностью. При этом в данном стандарте не поясняется, какие конкретно процессы
следует реализовать и каким образом.
В настоящей статье предлагается фреймворк процессной модели ИБ, при помощи которой
можно взглянуть на картину процессов, обеспечивающих ИБ в организациях, целиком. При
создании
фреймворка
процессной
модели
ИБ
сначала
рассматривается
архитектура
организации с различных перспектив, затем анализируется IT-фреймворк COBIT 5; далее, т. к.
ИБ предъявляет более широкие требования, чем IT, рассматриваются другие процессы,
необходимые для обеспечения ИБ. Фреймворк процессной модели представлен в виде карты
процессов, составленной на основе наиболее необходимых процессов ИБ организации.
2. Архитектура организации с различных перспектив
Архитектура организации может иметь разное представление в зависимости от положения
наблюдателя в организационной структуре компании. Архитектура организации с позиций
(перспектив) руководства организации, IT и ИБ представлена на рис. 1.
Перспектива информационной
Бизнес-перспектива
Технологическая/IT-перспектива
Видение
Оборудование
Информация
Миссия
Технологии
Доступ
Цели
Данные
Уязвимости
Задачи
Сети
Угрозы
безопасности
Недопустимые события /
Стратегия
Риски
Бизнес-процессы
ІТ-сервисы
Бизнес-процесс 1
ІТ-сервис 1
Бизнес-процесс 2
ІТ-сервис 2
Внутренний аудит ИБ
Бизнес-процесс 3
ІТ-сервис т
Мониторинг
Контроль
Внутренние нормативные документы
по ИБ
Рисунок 1. Различные перспективы архитектуры организации.
Обзор процессов для построения кибербезопасности в организации
Из рис. 1 видно, что архитектура организации со стороны различных подразделений и
руководства выглядит по-разному. При этом нужно понимать, что функции IT и ИБ строятся
на основе бизнес-процессов, а некоторые процессы ИБ могут предоставляться в виде ITсервиса.
Вся деятельность организации может быть показана с точки зрения осуществляемых
бизнес-процессов. При этом сами бизнес-процессы могут быть представлены на различных
уровнях детализации (например, вся функция IT определяется в виде одного блока на общей
карте процессов — модели из 37 процессов по COBIT 5).
Обсуждение процессов, необходимых для поддержания высокого уровня
кибербезопасности, невозможно без рассмотрения других связанных с обеспечением ИБ
процессов, таких как IT-процессы, процессы управления персоналом, процессы физической
безопасности, юридическая поддержка деятельности организации, управление
корпоративными рисками.
1 По мнению автора, не является частью модели COBIT 5.
Обзор процессов для построения кибербезопасности в организации
3. Архитектура организации с различных перспектив
3.1 IT-процессы --">
для построения
кибербезопасности
в организации
Автор:
Пономарев Артемий
Старший специалист группы
методологии управления ИБ
Оглавление
1. Введение
2. Архитектура организации с различных перспектив
3. Определение процессов ИБ для фреймворка процессной модели
3.1 IT-процессы организации
3.1.1 Процессы ИБ в COBIT 5
3.1.2 Процессы с сильным влиянием ИБ
3.1.3 Процессы IT, в исполнении которых функция ИБ заинтересована
3.1.4 Процессы ИБ, связанные с объемом функции ИБ
3.2 HR-процессы организации
3.3 Физическая охрана IT-активов
3.4 Юридическая поддержка
3.5 Корпоративная система управления рисками
3.6 Непрерывность деятельности
4. Фреймворк процессной модели ИБ
5. Заключение
Обзор процессов для построения кибербезопасности в организации
1. Введение
В настоящее время не существует стандарта, описывающего процессы ИБ в организации,
поэтому
каждая
организация
строит систему
обеспечения
ИБ,
основываясь
на
своем
представлении о целевой картине.
Для IT существуют фреймворки, которые описывают процессы (практики), необходимые для
построения
эффективной
системы
управления
IT.
В
информационной
безопасности
существует только стандарт ISO/IEC 27001, который устанавливает требования к тому, что
необходимо сделать (или делать) для построения системы управления информационной
безопасностью. При этом в данном стандарте не поясняется, какие конкретно процессы
следует реализовать и каким образом.
В настоящей статье предлагается фреймворк процессной модели ИБ, при помощи которой
можно взглянуть на картину процессов, обеспечивающих ИБ в организациях, целиком. При
создании
фреймворка
процессной
модели
ИБ
сначала
рассматривается
архитектура
организации с различных перспектив, затем анализируется IT-фреймворк COBIT 5; далее, т. к.
ИБ предъявляет более широкие требования, чем IT, рассматриваются другие процессы,
необходимые для обеспечения ИБ. Фреймворк процессной модели представлен в виде карты
процессов, составленной на основе наиболее необходимых процессов ИБ организации.
2. Архитектура организации с различных перспектив
Архитектура организации может иметь разное представление в зависимости от положения
наблюдателя в организационной структуре компании. Архитектура организации с позиций
(перспектив) руководства организации, IT и ИБ представлена на рис. 1.
Перспектива информационной
Бизнес-перспектива
Технологическая/IT-перспектива
Видение
Оборудование
Информация
Миссия
Технологии
Доступ
Цели
Данные
Уязвимости
Задачи
Сети
Угрозы
безопасности
Недопустимые события /
Стратегия
Риски
Бизнес-процессы
ІТ-сервисы
Бизнес-процесс 1
ІТ-сервис 1
Бизнес-процесс 2
ІТ-сервис 2
Внутренний аудит ИБ
Бизнес-процесс 3
ІТ-сервис т
Мониторинг
Контроль
Внутренние нормативные документы
по ИБ
Рисунок 1. Различные перспективы архитектуры организации.
Обзор процессов для построения кибербезопасности в организации
Из рис. 1 видно, что архитектура организации со стороны различных подразделений и
руководства выглядит по-разному. При этом нужно понимать, что функции IT и ИБ строятся
на основе бизнес-процессов, а некоторые процессы ИБ могут предоставляться в виде ITсервиса.
Вся деятельность организации может быть показана с точки зрения осуществляемых
бизнес-процессов. При этом сами бизнес-процессы могут быть представлены на различных
уровнях детализации (например, вся функция IT определяется в виде одного блока на общей
карте процессов — модели из 37 процессов по COBIT 5).
Обсуждение процессов, необходимых для поддержания высокого уровня
кибербезопасности, невозможно без рассмотрения других связанных с обеспечением ИБ
процессов, таких как IT-процессы, процессы управления персоналом, процессы физической
безопасности, юридическая поддержка деятельности организации, управление
корпоративными рисками.
1 По мнению автора, не является частью модели COBIT 5.
Обзор процессов для построения кибербезопасности в организации
3. Архитектура организации с различных перспектив
3.1 IT-процессы --">
- 1
- 2
- 3
- . . .
- последняя (11) »