korzhanov.info

[RU] Этот web-сайт использует файлы cookie для авторизации пользователей. Продолжая просмотр web-сайта, Вы подтверждаете свое согласие на использование файлов cookie.
[EN] This web-site uses files cookie for user authorization. By continuing to view this web-site, you confirm your consent to use files cookie.

ВОЙТИ или РЕГИСТРАЦИЯ

ЗАМЕТКИ

12
2023

ИБ. Стандарты

EvgeniyKA

ИБ Теория

Краткий обзор

COBIT

Control Objectives for Information and Related Technology (COBIT) — стандарт, который охватывает всю деятельность компании и позволяет широко взглянуть на управление ИТ и ИБ. С помощью принципов COBIT можно минимизировать риски и контролировать возврат инвестиций в ИТ и средства информационной защиты.

NIST Cybersecurity Framework

The National Institute of Standards and Technology Cybersecurity Framework (CSF) — методология, которая состоит из стандартов, рекомендаций и рекомендаций по управлению рисками, связанными с кибербезопасности. Другими словами это риск-ориентированный подход к управлению рисками кибербезопасности, который состоит из 7 основных шагов.

Шаг 1. Приоритетность и окружение
Расстановка приоритетов в отношении целей бизнеса и организационных приоритетов высокого уровня. Данная информация позволяет организациям принимать стратегические решения относительно собственного окружения систем и активов, которые поддерживают бизнес-направления и процессы.
Шаг 2. Направление
Выявление угроз и уязвимостей на шаге определения приоритетов и окружения (шаг 1).
Шаг 3. Профиль текущего состояния
Текущая оценка кибербезопасности.
Шаг 4. Оценка риска
Проведение оценки рисков с использованием CSF. Полученная информация используется на шаге 5.
Шаг 5. Профиль целевого состояния
Разрабатка профиля целевого состояния с учетом выявленных рисков (шаг 4). Профиль целевого состояния фокусируется на оценке базовых категорий и подкатегорий, описывающих желаемые результаты организации в области кибербезопасности.
Шаг 6. Расстановка приоритетов по выявленным недостаткам (проблемам)
Поиск возможностей для улучшения текущего состояния (профиля) путем наложения профиля текущего состояния на профиль целевого состояния.
Шаг 7. План действий
Устранение недостатков для достижения целевого состояния (профиля).

Сопоставление принципов CSF и COBIT

CSF	COBIT
Приоритетность и окружение Приоритизация рисков и целей бизнеса для обеспечения эффективного управления инвестициями.	Удовлетворение потребностей заинтересованных сторон Предприятия существуют для того, чтобы создавать ценность для своих заинтересованных сторон, поддерживая баланс между реализацией выгод и оптимизацией рисков и использованием ресурсов. Предприятие может настроить COBIT в соответствии со своим собственным контекстом с помощью каскада целей, преобразуя корпоративные цели высокого уровня в управляемые, конкретные задачи и привязывая их к конкретным процессам и практикам.
Направление Организация определяет общий подход к управлению рисками, принимая во внимание сотрудников, процессы и технологии предприятия наряду с внешними факторами, такими как нормативные требования. Определяются угрозы и уязвимости активов организации. Профиль текущего состояния Используя шаблон профиля, организация определяет свое текущее состояние в области ИБ и то, как каждое из этих состояний в настоящее время достигается. Оценка риска Организация, руководствуясь своим процессом управления рисками, анализирует операционную среду, чтобы определить вероятность события в области кибербезопасности и влияние, которое это событие может оказать. Профиль целевого состояния Организация создает целевой профиль, который фокусируется на оценке базовых категорий и подкатегорий, описывающих желаемые результаты организации в области кибербезопасности. Организации могут разрабатывать дополнительные категории и подкатегории для учета уникальных организационных рисков. При создании целевого профиля также могут учитываться влияния и требования внешних заинтересованных сторон, таких как отраслевые организации, клиенты и деловые партнеры. Расстановка приоритетов по выявленным недостаткам (проблемам) Организация сравнивает текущий и целевой профиль для выявления недостатков. Создается план действий по устранению проблем, который опирается на бизнес-цели, анализ затрат/выгод и понимание рисков для достижения целевых результатов. Организация определяет ресурсы, необходимые для устранения недостатков.	Комплексный охват предприятия COBIT фокусируется не только на ИТ, но рассматривает информацию и связанные с ней технологии как активы, с которыми каждый сотрудник предприятия должен обращаться так же, как с любым другим активом организации. Все связанные с ИТ средства управления являются сквозными, т.е. охватывают все внутренние и внешние бизнес-процессы, которые имеют отношение к управлению корпоративной информацией. Применение единой интегрированной системы COBIT согласуется с другими соответствующими стандартами и структурами на высоком уровне и, таким образом, может служить всеобъемлющей основой для руководства корпоративными ИТ.
План действий Организация определяет, какие действия предпринять в отношении недостатков, если таковые имеются, выявленных на предыдущем шаге. Затем она отслеживает свои текущие методы обеспечения кибербезопасности в соответствии с целевым профилем. В качестве дальнейшего руководства CSF приводит примеры информационных ссылок, касающихся категорий и подкатегорий, но организации должны определить, какие стандарты, руководящие принципы и практика, включая те, которые относятся к конкретному сектору, наилучшим образом соответствуют их потребностям. Организация может повторять шаги по мере необходимости для постоянной оценки и улучшения своей кибербезопасности. Кроме того, организация может отслеживать прогресс посредством итеративных обновлений текущего профиля, впоследствии сравнивая текущий профиль с целевым профилем.	Обеспечение целостного подхода COBIT определяет набор вспомогательных средств для поддержки внедрения комплексной системы управления корпоративными ИТ. Вспомогательные средства в широком смысле определяются все, что может помочь в достижении целей предприятия. Структура COBIT определяет 7 (семь) категорий вспомогательных средств: 1. Принципы, политика и структуры 2. Процессы 3. Организационные структуры 4. Культура, этика и поведение 5. Информация 6. Услуги, инфраструктура и приложения 7. Люди, навыки и компетентности
	Отделение Руководства от Менеджмента Структура COBIT проводит четкое различие между руководством и менеджментом. Эти две дисциплины охватывают разные виды деятельности, требуют разных организационных структур и служат разным целям.

[RU] Комментирование закрыто. [EN] Comments are closed.