Идеи и модели cobit5 для специалистов по · 2013-12-09 · А вот и...
TRANSCRIPT
Прозоров Андрей Ведущий эксперт по информационной безопасности
Идеи и модели COBIT5
для специалистов по
информационной безопасности
BISA 12-2013
2
Прозоров Андрей
Ведущий эксперт по
информационной безопасности
InfoWatch,
блог «Жизнь 80 на 20»
http://80na20.blogspot.ru
Твиттер: @3dwave
Содержание
3
1. Как я пришел к COBIT5? Почему COBIT5? 2. COBIT5 Intro 3. Библиотека COBIT5 4. Принципы
5. Факторы влияния (enablers) и ИБ 6. Модель внедрения 7. Оценка возможностей процессов 8. Сертификация специалистов
ISO 27001
NIST
Как я пришел к COBIT5?
4
ITIL
BS 25999
COBIT 4.1
• Управление непрерывностью • Детализированные меры ИБ • Много документов для разных
задач ИБ
COBIT 5
• Модель зрелости процессов • Связь ИТ и бизнеса
• Важные процессы (конфигурация, инциденты и проблемы, изменения…)
• Комплексная ИБ • PDCA • «Процессный подход»
Почему COBIT5?
5
1. Удачный набор документов, много рекомендаций (статьи и форумы). Удобная модель распространения документов (много бесплатных)
2. Очень много моделей, схем, таблиц и примеров. Много идей из других «лучших практик» (PMBOK, ITIL, ISO, NIST, ISACA…)
3. Ориентир на стейкхолдеров, +каскад целей 4. Удобное описание процессов (Purpose, Goals and Metrics,
Inputs / Outputs, Process Practice and Activities, RACI Chart) 5. Удачная модель внедрения/совершенствования 6. Комплексный подход (факторы влияния – enablers) 7. Маппинг (ISO 27001/27002 (2005), NIST 800-53 A rev.1
6
COBIT 5 Intro
Введение
7
Информация является критически важным ресурсом для всех предприятий. На всех этапах своего жизненного цикла информация критичным образом зависит от специализированных технологий.
Предприятиям и их руководителям следует: • Поддерживать высокое качество информации для принятия
управленческих решений • Создавать ценность для бизнеса, реализуя инвестиции, связанные с ИТ
(достигать стратегических целей и получать выгоду путем эффективного и инновационного использования ИТ)
• Совершенствовать операционную модель, надежно и рационально применяя технологии
• Обеспечивать приемлемый уровень ИТ-рисков • Оптимизировать затраты на ИТ-услуги и технологии • Повышать степень соблюдения законов, норм, договорных обязательств и
политик, связанных с применением ИТ
А вот и COBIT5
8
COBIT 5 предлагает целостную методологию, которая призвана помочь в решении задачи руководства и управления ИТ на предприятии. COBIT 5 помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов.
COBIT 5 Home - www.isaca.org/COBIT/Pages/default.aspx COBIT 5 FAQ - www.isaca.org/COBIT/Pages/FAQs.aspx COBIT 5 News - www.isaca.org/COBIT/Pages/News.aspx
COBIT5 Framework
9
• COBIT5: A Business Framework for the Governance and Management of Enterprise IT (94 стр. 05-2012)
• Есть перевод на русский язык, COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии (09-2013 bit.ly/194ez7O )
Кстати, COBIT - Control Objectives for Information and Related Technology (Задачи информационных и смежных технологий)
История развития
10
2005/7 2000 1998
Evo
luti
on
of
sco
pe
1996 2012
Governance of Enterprise IT
COBIT 5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
Audit
COBIT1
Val IT 2.0 (2008)
Risk IT (2009)
11
COBIT 5 Библиотека
12
Библиотека COBIT5 (для ИБ)
13
COBIT 5 Online Collaborative Environment
Enabling Processes Enabling Information
Implementation + for Information Security
for Assurance
for Risk
COBIT 5 Enabler Guides
COBIT 5 Professional Guides
COBIT 5 (Framework)
Assessment Programme +
http://www.isaca.org/COBIT/Pages/Product-Family.aspx
Прочие документы с идеями COBIT5
14
• Securing Mobile Devices: Using COBIT 5 for Information Security
• Vendor Management Using COBIT5 (+toolkit) • Configuration Management: Using COBIT5 • Transforming Cybersecurity: Using COBIT 5 • Responding to targeted cyberattacks • APT: How to manage the risk to your business
15
PowerPoint presentations: 01. Readme-With-Copyright-Disclaimer 02. COBIT5-Introduction - ppt 03. COBIT5-ExecSummary - ppt 04. COBIT5-Compare-With-4.1 - ppt 05. COBIT5-for-InfoSec - ppt 06. COBIT5-and-InfoSec-Spanish - ppt 07. COBIT5-and-GRC - ppt 08. COBIT5-for-Assurance - ppt 09. IT-BSC-Example - ppt 10. COBIT5-Key-Audience-Marketing-Messages - doc
Self-assessment, measurement and diagnostic tools: 11. COBIT5-Governance-and-Management-Practices-Activities - xls 12. Management-Awareness-Diagnostic – xls Other: 13. Balanced-Scorecard-Case-Study – pdf 14. COBIT5-FAQs - pdf 15. COBIT5-Laminate - pdf 16. Where-Have-All-the-Control-Objectives-Gone - pdf 17. Overviews-ISACA-FWs-Gdnc-Intgrtd-in-COBIT5 - pdf
COBIT5-Tool-Kit (Implementation)
bit.ly/1dtRP4k
16
COBIT 5 Принципы
Принципы COBIT5
17
1.Соответствие потребностям
заинтересованных сторон
(Meeting Stakeholder Needs)
18
Предприятия существуют для того, чтобы создавать ценность для заинтересованных сторон (стейкхолдеры), путем поддержания баланса между получением выгоды и оптимизацией рисков и ресурсов.
Каскад целей
19
17 (BSC)
17
• Financial / Финансы • Customer / Заказчик • Internal /
Внутр.управление • Learning and Growth /
Обучение и развитие
Зачем? Для определения приоритетов развития, «выравнивание» целей бизнеса и ИТ/ИБ
Примеры таблиц
20
2.Комплексный взгляд на предприятие (Covering the Enterprise End-to-end)
21
COBIT 5 встраивает руководство ИТ в руководство предприятием в целом, то есть: • Рассматривает все функции и процессы предприятия.
COBIT 5 нацелен не только на реализацию «ИТ-функции», но рассматривает информацию и связанные с ней технологии как активы предприятия, которыми следует управлять, как и любыми другими активами.
• Исходит из того, что факторы влияния руководства и управления, связанные с ИТ, работают на всем предприятии и по всей цепочки создания ценности, и включают в себя все внутренние и внешние аспекты и роли, которые имеют отношение к руководству и управлению ИТ.
3.Применение единой интегрированной
методологии (Applying a Single Integrated Framework)
22
3.
В COBIT 5 реализовано соответствие основным стандартам и «лучшим практикам ISO 27001 / ISO 27002 (2005), ITIL V3, PMBOK и PRINCE2, NIST SP 800-53A Rev. 1, The ISF 2011, «старые» материалы ISACA (VAL IT, RISK IT, BMIS, COBIT 4.1), TOGAF…
23
Методология COBIT 5 является единым и целостным подходом потому что: • Она соответствует новейшим стандартам и подходам, а, следовательно,
предприятия могут использовать COBIT 5 в качестве интеграционной методологии для всех подходов к руководству и к управлению.
• Она описывает предприятие целиком, предоставляя основу для эффективной интеграции других подходов, стандартов и практических приемов. Единый подход служит целостным источником рекомендаций, написанным технологически независимым, простым языком.
• Она обладает простой архитектурой, позволяющей легко структурировать рекомендации в целостный набор публикаций.
• Она объединяет знания, ранее размещенные в различных подходах ISACA. Исследуя различные области управления предприятием на протяжении многих лет, ассоциация ISACA разработала ряд подходов и рекомендаций в помощь предприятиям, таких как COBIT, Val IT, Risk IT, BMIS, Board Briefing on IT Governance и ITAF. Методология COBIT 5 интегрирует все эти знания.
24
4.Обеспечение целостного подхода (Enabling a Holistic Approach)
25
Эффективное и рациональное руководство и управление ИТ на предприятии требует целостного подхода, с учетом многих взаимосвязанных компонентов. В COBIT 5 описан набор факторов влияния, которые обеспечивают внедрение системы руководства и управления ИТ на предприятии. Факторы влияния – это взаимосвязанные сущности, которые способствуют решению задач предприятия.
Факторы влияния (enablers)
26
Общая модель факторов влияния
27
5.Разделение Руководства и Управления (Separating Governance From Management)
28
Governance || Management
29
Руководство обеспечивает уверенность в достижении целей предприятия путём: • сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; • установления направления развития через приоритизацию и принятие решений; • постоянного мониторинга соответствия фактической продуктивности и степени выполнения требований, установленным направлению и целям предприятия. Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия.
Ключевые области руководства и
управления
30
Align, Plan and Organise
Build, Acquire and Implement
Deliver, Service and Support
Monitor, Evaluate and Assess
Эталонная модель процессов
31
32
COBIT 5 Факторы влияния (enablers) и информационная безопасность
Книги про факторы влияния (enablers)
33
• COBIT5 • COBIT5 for Information Security • COBIT5 Enabling Processes • COBIT5 Enabling Information
Е1.Принципы, политики и подходы
34
Support the business // Поддержка бизнеса • Focus on the business // Фокус на бизнес • Deliver quality and value to
stakeholders // Предоставление качества и ценности для заинтересованных лиц
• Comply with relevant legal and regulatory requirements // Соответствие требованиям регуляторов
• Provide timely and accurate information on IS performance // Предоставление своевременнной и точной информации о состоянии ИБ
• Evaluate current and future information threats // Оценка текущих и будущих угроз ИБ
• Promote continuous improvement in IS // Постоянное совершенствование
Defend the business // Защита бизнеса • Adopt a risk-based
approach // Использование риск-ориентированного подхода
• Protect classified information // Защита конфиденциальной информации
• Concentrate on critical business applications // Концентрация на критичных для бизнеса системах
• Develop systems securely // Разработка надежных систем
Promote responsible IS behaviour // Поощрение ответственного поведения (ИБ) • Act in a professional and ethical
manner // Ориентир на профессиональную этику
• Foster an IS-positive culture // Способствование положительной культуры ИБ
Примеры политик ИБ
35
• Information security policy • Access control policy • Personnel information security policy • Physical and environmental information security policy • Incident management policy • Business continuity and disaster recovery policy • Asset management policy • Rules of behaviour (acceptable use) • Information systems acquisition, software development and maintenance policy • Vendor management policy • Communications and operation management policy • Compliance policy • Risk management policy
E2.Процессы
36
На что обратить внимание ИБ?
Что в процессах?
37
• Назначение и описание процесса • Цели и метрики процесса • Управляемые практики (входы и выходы)
Например, APO13 Manage Security: • APO13.01 Establish and maintain an information security management system (ISMS) • APO13.02 Define and manage an information security risk treatment plan • APO13.03 Monitor and review the ISMS
Например, DSS05 Manage Security Services: • DSS05.01 Protect against malware • DSS05.02 Manage network and connectivity security • DSS05.03 Manage endpoint security • DSS05.04 Manage user identity and logical access • DSS05.05 Manage physical access to IT assets • DSS05.06 Manage sensitive documents and output devices • DSS05.07 Monitor the infrastructure for security-related events
• Активности (Рекомендации) • RACI-Chart
38
R – Responsible A – Accountable C – Consulted I – Informed
39
Е3.Организационные структуры. Роли
40
• Chief information security officer (CISO) • Information security steering committee (ISSC) • Information security manager (ISM) • Enterprise risk management (ERM) committee • Information custodians/business owners
• Board • Chief Executive Officer • Chief Financial Officer • Chief Operating Officer • Chief Risk Officer • Head Human Resources • Compliance • Audit • Business Continuity Manager • Privacy Officer • …
Культура ИБ 1. Сотрудники применяют подходы ИБ в повседневной деятельности
2. Сотрудники понимают важность политик и принципов ИБ
3. Сотрудники обеспечены необходимыми материалами и "лучшими практиками" по ИБ и приглашаются к участию при решении вопросов, связанных с ИБ
4. Каждый сотрудник несет ответственность за ИБ в компании
5. Заинтересованные стороны осведомлены о наличии угроз ИБ и определяют подход к реагированию на них
6. Руководство активно поддерживает развитие ИБ
7. Руководители подразделений обеспечивают эффективные коммуникации между отделами при решении задач ИБ
8. Высшее руководство признает ценность ИБ для бизнеса
41
E4.Культура, этика и поведение
Лидерство
Лидеры своим примером и словами показывают приверженность ценностям и принципам.
Лидерами могут быть любые сотрудники, но особо важна поддержка: – Information security professionals
– C-level executives: CEO, COO, CFO, CIO
– Head of HR
– Risk managers
42
Лидерство может выражаться в следующих направлениях:
• Повседневные коммуникации, определение и контроль правил (норм)
• Использование систем стимулов и вознаграждений
• Повышения осведомленности
43
Е5.Информация
44
Примеры типов информации
45
• Information security strategy • Information security budget • Information security plan • Policies • Information security requirements,
which may include: – Information security configuration requirements – SLA/OLA information security requirements
• Awareness material • Information security service
catalogue • Information risk profile, which
includes: – Information risk register – Breaches and loss reports (consolidated incident report)
• Information security review reports, which include: – Information security audit findings – Information security maturity report – Information security-related risk management: • Threat analysis • Vulnerability (information security)
assessment reports • Information security dashboard (or
equivalent), which includes: – Information security incidents – Information security problems – Information security metrics
Заинтересованные
стороны и информация
(ИБ)
46
A—Approver O—Originator I—Informed of information type U—User of information type
Е6.Услуги, инфраструктура и приложения
47
Security-related services (in a service catalogue): • Provide a security architecture • Provide security awareness • Provide secure development (development in line with security
standards) • Provide security assessments • Provide adequately secured and configured systems, in line with
security requirements and security architecture • Provide user access and access rights in line with usiness
requirements • Provide adequate protection against malware, external attacks
and intrusion attempts • Provide adequate incident response • Provide security testing • Provide monitoring and alert services for security-related events
Компетенции в ИБ
1. Руководство ИБ (Governance)
2. Разработка стратегии ИБ
3. Управление рисками ИБ
4. Разработка архитектуры ИБ
5. Операционная деятельность в ИБ
6. Оценка, проверка и соответствие требованиям (compliance)
COBIT5 рассматривает Опыт, Квалификацию (сертификаты), Знания и навыки
Е7.Люди, навыки и компетенции
Навыки по COBIT5
• Лидерство • Процессное мышление • Системное мышление • Стратегическое мышление • Ориентация на задачи бизнеса • Абстрактное мышление • Ориентир на решение проблемы • Аналитическое мышление, внимание к деталям • Навыки управления проектами и персоналом • Сильные навыки управления временем • Этичное поведение • Хорошие навыки переговорщика, Сильные
коммуникативные навыки, способность коммуницировать на всех уровнях организации
!!!См.связь с компетенциями
50
COBIT 5 Модель внедрения
Модель внедрения
51
Фазы жизненного цикла
52
1. What are the drivers? / Что нами движет? Определяются потребности внедрения или инициативы по совершенствованию, выявляются "болевые точки" и события-триггеры, которые запускают процесс.
2. Where are we now? / Где мы находимся сейчас? Определяется контекст и охват внедрения (scope), сопоставлются цели ИТ с целями бизнеса, оцениваются риски ИТ и уровень зрелости процессов.
3. Where do we want to be? / Где мы хотим оказаться? Определяются цели совершенствования.
4. What needs to be done? / Что нужно сделать? Производится планирование практических решений и инициация проектов.
5. How do we get there? / Как мы туда попадем? Происходит внедрение выбранных решений в повседневную практику.
6. Did we get there? / Удалось ли выполнить задуманное? Отслеживаются полученные выгоды и обеспечивается устойчивая работа новых или измененных факторов влияния.
7. How do we keep the momentum going? / Как сохранить импульс/развитие? Оценивается успех инициативы в целом, выявляются дальнейшие требования к руководству и управлению ИТ, а постоянному совершенствованию дается дополнительный импульс.
COBIT5 Implementation
53
• Примеры "болевых точек" и событий-триггеров, • Ожидания внутренних и внешних заинтересованных сторон • Детальное рассмотрение этапов/фаз:
• Phase objective / Цель этапа • Phase description / Описание этапа • Continual improvement (CI) tasks / Задачи постоянного улучшения • Change enablement (CE) tasks / Задачи по изменению • Programme management (PM) tasks / Задачи по управлению
программой • Input / Вход • ISACA materials and other frameworks / Дополнительные материалы • Output / Выход
• Таблицы связи "вызовов" (challenges) с причинами и факторами успеха (root causes, success factors)
• Таблицы основные ролей и RACI-chart
54
COBIT 5 Оценка возможностей процессов
Зрелость vs Возможности процессов
55
COBIT 4.1 Maturity
Model
COBIT 5 Process
Capability Model
COBIT5 Process Capability Model (Книги)
56
• COBIT5 (Framework)
• COBIT Process Assessment Model (PAM): Using COBIT 5 – 144 стр. • COBIT Assessor Guide: Using COBIT 5 – 52 стр. • COBIT Self-Assessment Guide: Using COBIT 5 - 24 стр
• + 2 exel-файла: "COBIT5-Assessment-Scoping-Tool" и
"COBIT5-Self-assessment-Templates"
COBIT 5 Process Capability Model 1
57
• Level 5: Optimising process (Оптимизированный) Предсказуемый процесс предыдущего уровня теперь постоянно совершенствуется, чтобы обеспечивать достижение текущих и будущих целей предприятия.
• Level 4: Predictable process (Предсказуемый) Установленный процесс предыдущего уровня теперь получает результаты в
условиях заданных ограничений. • Level 3: Established process (Установленный)
Управляемый процесс предыдущего уровня теперь способен получать ожидаемые
результаты. • Level 2: Managed process (Управляемый)
Осуществлённый процесс предыдущего уровня теперь управляем (то есть планируется, отслеживается и корректируется). Создаются, контролируются и
поддерживаются рабочие продукты процесса. • Level 1: Performed process (Осуществленный)
Процесс внедрен и соответствует своему назначению. • Level 0: Incomplete process (Неполный)
Такой процесс еще не внедрен или не способен соответствовать своему назначению.На этом уровне отсутствуют свидетельства систематического достижения процессом своих целей, или таких свидетельств мало.
58
COBIT 5 Process Capability Model 2
59
COBIT 5 Сертификация специалистов
60
COBIT 5 Foundation
Exam
COBIT 5 Implementation
Exam
COBIT 5 Assessor Exam
COBIT 5 Foundation Exam 1
61
• On-line экзамен на английском языке • 260$ • 50 вопросов, выбор 1 из 4 • надо ответить верно 25+ • 40 минут • Без книг
62
Темы: • The COBIT 5 Enablers • The COBIT 5 Principles • Process Capability Assessment Model • Introduction to COBIT 5 Implementation • Overview & Key Features of COBIT 5 (Расположены по кол-ву вопросов по убыванию)
COBIT 5 Foundation Exam 2
63
COBIT 5 Foundation Exam 3
• Примеры вопросов: http://bit.ly/1enwL02
• Все на 1 странице (выучить): https://t.co/50gfmC2hjV
• Мой блог (посты про COBIT): http://80na20.blogspot.ru/search/label/COBIT
COBIT 5 Foundation Exam
COBIT 5 Implementation Exam
COBIT 5 Assessor Exam
None • Successful completion of the COBIT 5 Foundation Exam
• Successful completion of the COBIT 5 Implementation Course
• Successful completion of the COBIT 5 Foundation Exam
• Successful completion of the COBIT 5 Assessor Course
• Multiple Choice format
• 50 questions per paper
• 25 mark or more required to pass (out of 50 available) - 50%
• 40 minute duration
• Closed book.
• Objective testing • 4 questions per paper with
20 marks available per question
• 40 marks or more required to pass (out of 80 available) - 50%
• 2 ½ hours duration • Open book (‘COBIT 5
Implementation’ book only).
• Objective testing • 8 questions per paper with 10
marks available per question • 40 marks or more required to
pass (out of 80 available) - 50% • 2 ½ hours duration • Open book (‘COBIT 5 Assessor
Guide: Using COBIT 5’ and ‘COBIT Process Assessment Model (PAM): Using COBIT 5’ books only).
Pre
req
uis
ite
Ex
am F
orm
at
64
Все экзамены COBIT5
65
А хотите еще вебинары по COBIT5?
66
Пример тем:
1. Экзамен COBIT5 Foundation
2. Модель внедрения COBIT5 (implementation)
3. Подробнее про движущие силы (enablers)
4. Процессная модель COBIT5
5. Модель зрелости/возможности процессов
6. Подробнее про книги COBIT5
7. COBIT5 и ИБ (чуть «глубже»)
8. …
И контакты…
http://80na20.blogspot.ru
@3dwave
http://www.infowatch.ru
@InfoWatchNews
http://bis-expert.ru
@DLP_Expert