Загрузил danilkakk01

Стандарт COBIT&ISO

реклама
Подпишитесь на DeepL Pro и переводите документы большего объема.
Подробнее на www.DeepL.com/pro.
Посмотрите обсуждения, статистику и профили авторов этой публикации на: https://www.researchgate.net/publication/292833500
Подход к сопоставлению процессов COBIT с элементами управления
информационной безопасностью ISO/IEC 27001
Статья в Международном журнале по безопасности и ее применению - январь 2012 г.
ЦИТАТЫ
ЧИТАТЬ
40
33,300
2 автора:
Разиех Шейхпур
Насер Модири
Ардаканский
Исламский университет Азад - филиал в Занджане
университет
75 ПУБЛИКАЦИЙ 723 ЦИТИРОВАНИЯ
46 ПУБЛИКАЦИЙ 1 082
ЦИТИРОВАНИЯ
ПОСМОТРЕ
ТЬ ПРОФИЛЬ
ПОСМОТРЕ
ТЬ ПРОФИЛЬ
Все содержимое этой страницы было загружено Razieh Sheikhpour 18 ноября 2016 года.
Пользователь запросил улучшение загруженного файла.
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
Подход к сопоставлению процессов COBIT с элементами
управления информационной безопасностью ISO/IEC 27001
Разиех Шейхпур1 и Насер Модири2
1Факультет
компьютерной инженерии, отделение Северного
Тегерана, Исламский университет Азад, Тегеран, Иран
2Факультет компьютерной инженерии, Занджанский
филиал, Исламский университет Азад, Занджан, Иран
1r_sheikhpour@yahoo.com, 2nassermodiri@yahoo.com
Аннотация
Информация является основным активом любой организации, и защита этого
актива с помощью процесса информационной безопасности имеет не меньшее
значение. COBIT и ISO27001 являются эталонными системами управления
информационной безопасностью, помогающими организациям оценить риски
безопасности и внедрить соответствующие средства контроля безопасности. Одним
из важнейших разделов ИТ в рамках COBIT является управление информационной
безопасностью, которое охватывает конфиденциальность, целостность и
доступность ресурсов. Поскольку вопросы, затронутые в управлении информационной
безопасностью COBIT, относятся к области, охватываемой стандартом
ISO/IEC27001, наилучшим вариантом для обеспечения управления информационной
безопасностью в инфраструктуре COBIT является использование стандарта
ISO/IEC27001. Для сосуществования и взаимодополняющего использования COBIT и
ISO27001 полезно отображение процессов COBIT на элементы управления ISO/IEC
27001. В данной статье рассматривается роль информационной безопасности в
рамках COBIT и описывается подход к отображению процессов COBIT на элементы
управления ISO/IEC27001 для управления информационной безопасностью.
Ключевые слова: Управление информационной безопасностью, картирование,
организация, COBIT, ISO/IEC 27001, цикл PDCA
1. Введение
Все организации зависят от своих ресурсов информационных технологий не только
для выживания, но и для роста и расширения на современных высококонкурентных
глобальных рынках [1]. Однако использование информационных технологий в силу
своей природы несет значительные риски для информационных систем и особенно для
критически важных ресурсов [2]. Поэтому безопасность информации нуждается в
надлежащем управлении и контроле [3].
Информационная безопасность - это защита информации от широкого спектра угроз
с целью обеспечения непрерывности бизнеса, минимизации бизнес-рисков и
максимизации отдачи от инвестиций и бизнес-возможностей [4]. Для эффективного
управления информационной безопасностью в организации разрабатываются системы
управления информационной безопасностью (СУИБ). ISMS управляет и непрерывно
эксплуатирует систему информационной безопасности с точки зрения технологии,
управления и аппаратных средств для достижения цели информационной
безопасности, которая заключается в обеспечении конфиденциальности, целостности и
доступности. Внедрение СУИБ следует концепции цикла "План-До-Проверки-Акт"
(PDCA) [5].
Некоторые из лучших практик, такие как COBIT и ISO/IEC 27001, могут быть
13
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
использованы в качестве основы для разработки надежного процесса информационной
безопасности [6]. Стандарт ISO/IEC27001 устанавливает требования к разработке и
внедрению соответствующей системы управления информационной безопасностью в
организации, обеспечивая адекватную и пропорциональную защиту информации.
14
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
Средства управления выбираются для защиты информационных активов и обеспечения
уверенности заинтересованных сторон [4].
COBIT - это система управления ИТ и набор вспомогательных инструментов,
которые позволяют менеджерам преодолеть разрыв между требованиями к контролю,
техническими вопросами и бизнес-рисками [7]. Основным направлением COBIT
является разработка четких политик и передовых методов обеспечения безопасности и
контроля в ИТ для всемирного одобрения коммерческими, правительственными и
профессиональными организациями [8]. Поскольку вопросы, затронутые в управлении
информационной безопасностью COBIT, такие как конфиденциальность, целостность и
доступность, относятся к области, охватываемой стандартом ISO/IEC 27001,
наилучшим вариантом для обеспечения управления информационной безопасностью в
инфраструктуре COBIT является использование стандарта ISO/IEC 27001.
В этой статье мы описываем отображение процессов COBIT на элементы управления
ISO/IEC 27001, чтобы исследовать сосуществование и взаимодополняемость COBIT и
ISO/IEC 27001 для управления информационной безопасностью. Карта описывает
взаимосвязь между предметами и параметрами контроля обоих стандартов.
Остальная часть статьи организована следующим образом: В разделе 2 представлен
обзор системы COBIT. В разделе 3 описывается стандарт ISO/IEC 27001. В разделе 4
мы описываем сопоставление процессов COBIT с элементами управления ISO/IEC
27001 для управления информационной безопасностью. Наконец, в разделе 5
представлено заключение статьи.
2. Концепция COBIT
Control Objectives for Information and related Technology (COBIT) - это набор лучших
практик для управления информационными технологиями, созданный Ассоциацией по
аудиту и контролю информационных систем (ISACA) и Институтом управления ИТ
(ITGI) [7, 9].
COBIT предоставляет руководителям, аудиторам и пользователям ИТ набор
общепринятых мер, показателей, процессов и лучших практик, которые помогут им
максимизировать выгоды от использования информационных технологий и
разработать соответствующее управление и контроль ИТ в компании. Миссия COBIT
заключается в исследовании, разработке, популяризации и продвижении
авторитетного, актуального, международного набора общепринятых целей контроля
информационных технологий для повседневного использования менеджерами и
аудиторами. Менеджеры, аудиторы и пользователи выигрывают от разработки COBIT,
поскольку она помогает им понять свои ИТ-системы и решить, какой уровень
безопасности и контроля необходим для защиты активов их компаний путем
разработки модели управления ИТ [7, 9].
COBIT может широко применяться для различных целей. COBIT охватывает
безопасность в дополнение ко всем другим рискам, которые могут возникнуть при
использовании ИТ.
2.1. Описание руководства и содержания COBIT
Управление предприятием (система, с помощью которой организации управляются и
контролируются) и управление ИТ (система, с помощью которой ИТ организации
управляются и контролируются), с точки зрения COBIT, тесно связаны между собой.
Управление предприятием неадекватно без управления ИТ, и наоборот. ИТ могут
расширять и влиять на работу организации, но они должны находиться под адекватным
управлением. С другой стороны, бизнес-процессы требуют информации от ИТпроцессов, и эта взаимосвязь также должна регулироваться [10].
В этой теме цикл PDCA становится очевидным. Концепция цикла PDCA обычно
15
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
используется в структурированных процессах решения проблем и непрерывного
совершенствования. Как информационная потребность (управление предприятием), так
и информационное предложение (управление ИТ) должны быть запланированы с
измеримыми и конструктивными показателями (план). Информация и, возможно,
информационные системы должны быть внедрены, предоставлены и использованы
(do). Результат
16
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
Предоставленная и использованная информация измеряется в сравнении с
показателями, определенными на этапе планирования (check). Отклонения
исследуются, и принимаются корректирующие меры (действие).
Учитывая эти взаимозависимости, становится очевидным, что ИТ-процессы не
являются самоцелью. Они являются средством достижения цели, которое в
значительной степени интегрировано с управлением бизнес-процессами. Следующее
определение взято из ITGI:
Управление ИТ является обязанностью совета директоров и исполнительного
руководства. Оно является неотъемлемой частью управления предприятием и состоит
из руководства и организационных структур и процессов, которые обеспечивают,
чтобы ИТ организации поддерживали и расширяли стратегии и цели организации [10].
2.2. Характеристики системы COBIT Framework
Концепция COBIT была создана с учетом следующих основных характеристик [7]:
2.2.1. Ориентированность на бизнес: Ориентация на бизнес - главная тема COBIT.
Она предназначена не только для поставщиков ИТ-услуг, пользователей и аудиторов,
но и, что более важно, для руководства и владельцев бизнес-процессов. В основе
концепции COBIT лежит принцип, согласно которому для предоставления
информации, необходимой предприятию для достижения своих целей, предприятие
должно инвестировать в ИТ-ресурсы, управлять ими и контролировать их, используя
структурированный набор процессов для предоставления услуг, обеспечивающих
получение необходимой информации. Управление и контроль информации лежат в
основе концепции COBIT и помогают обеспечить соответствие требованиям бизнеса.
Информационные критерии
Информация, поступающая в основные бизнес-процессы, должна соответствовать
определенным критериям, которые в обобщенном виде характеризуются следующим
образом:
• Требования к качеству:
– Эффективность: Речь идет о том, что информация должна быть актуальной и
соответствовать бизнес-процессу, а также доставляться своевременно, правильно,
последовательно и удобно для использования.
– Эффективность: Обеспечивает предоставление информации за счет оптимального
(наиболее продуктивного и экономичного) использования ресурсов.
• Требования к безопасности:
– Конфиденциальность:
Защита
несанкционированного разглашения.
конфиденциальной
информации
от
– Целостность: Относится к точности и полноте информации, а также к ее
достоверности в соответствии с ценностями и ожиданиями бизнеса.
– Доступность: Относится к тому, чтобы информация была доступна, когда это
требуется бизнес-процессу, сейчас и в будущем. Она также связана с сохранением
необходимых ресурсов и связанных с ними возможностей.
• Фидуциарные требования:
– Соответствие: Речь идет о соблюдении законов, нормативных актов и
договорных соглашений, которым подчиняется бизнес-процесс, то есть внешних
критериев ведения бизнеса, а также внутренних политик.
17
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
– Надежность: Относится к предоставлению руководству соответствующей
информации для управления организацией и выполнения своих фидуциарных и
управленческих обязанностей.
18
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
2.2.2. Процессно-ориентированный:
COBIT
разделяет
управление
информационными технологиями на 34 процесса, сгруппированных в четыре домена, и
предоставляет цели контроля высокого уровня для каждого из этих 34 процессов. К
этим областям относятся:
•
Планируйте и организуйте
•
Приобрести и внедрить
•
Поставка и поддержка
•
Мониторинг и оценка
Домены соответствуют традиционным областям ответственности ИТ: планирование,
создание, выполнение и мониторинг. Концепция COBIT предоставляет эталонную
модель процессов и общий язык для всех сотрудников предприятия, чтобы они могли
видеть и управлять ИТ-деятельностью. Внедрение операционной модели и общего
языка для всех подразделений предприятия, вовлеченных в ИТ, - один из самых
важных и первых шагов на пути к эффективному управлению. Она также обеспечивает
основу для измерения и мониторинга производительности ИТ, общения с
поставщиками услуг и интеграции передовых методов управления. Процессная модель
способствует развитию ответственности за процессы, позволяя определить обязанности
и подотчетность.
2.2.3. Основан на контроле: COBIT определяет цели контроля для всех 34 процессов,
а также всеобъемлющий контроль процессов и приложений. Контроль определяется
как политика, процедуры, практика и организационные структуры, разработанные для
обеспечения разумной уверенности в том, что бизнес-цели будут достигнуты, а
нежелательные события будут предотвращены или обнаружены и исправлены.
2.2.4. Ориентирован на измерения: Базовая потребность каждого предприятия понять состояние собственных ИТ-систем и решить, какой уровень управления и
контроля должно обеспечить предприятие. Чтобы выбрать правильный уровень,
руководство должно спросить себя: Как далеко мы должны зайти и оправданы ли
затраты выгодой? Предприятиям необходимо определить, на каком уровне они
находятся и где требуется улучшение, а также внедрить набор инструментов
управления для мониторинга этого улучшения. Эти характеристики COBIT
подчеркивают основной принцип системы COBIT, который заключается в том, что
управление ИТ-ресурсами осуществляется с помощью ИТ-процессов для достижения
ИТ-целей, которые отвечают следующим требованиям
бизнес-требования.
2.3. Рамочная модель COBIT
Цель концепции COBIT - предоставить руководству модель управления ИТ, которая
поможет контролировать и управлять информацией и связанными с ней технологиями.
Концепция объясняет, как ИТ-процессы предоставляют информацию, необходимую
бизнесу для достижения своих целей. Контроль за предоставлением информации
осуществляется с помощью 34 целей контроля высокого уровня, по одной для каждого
ИТ-процесса, содержащихся в четырех доменах. Концепция определяет, какие из семи
информационных критериев (эффективность, результативность, конфиденциальность,
целостность, доступность, соответствие и надежность), а также какие из ИТ-ресурсов
(люди, приложения, технологии, средства и данные) важны для того, чтобы ИТ-
19
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
процессы полностью поддерживали бизнес-цели [11].
Институт управления ИТ определил четыре домена в качестве строительных блоков
системы COBIT, как показано на рисунке 1: [11]
20
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
Рисунок 1. ИТ-процессы COBIT, определенные в рамках четырех доменов [10].
Эта структура основана на цикле PDCA.
2.4. COBIT как основа управления информационной безопасностью
Эффективная
информационная
безопасность
требует
всеобъемлющего,
интегрированного набора процессов безопасности, управления и руководства для
планирования, организации и противодействия рискам информационной безопасности
организации. COBIT представляет собой интегрированную структуру управления,
менеджмента и процессов для внедрения и реализации информационной безопасности.
COBIT описывает рациональные процессы, практики и цели контроля для
управления и эксплуатации ИТ-систем, включая состояние их безопасности.
Организации, использующие эту систему, сообщают о повышении способности
предоставлять высококачественные услуги своим клиентам, что включает в себя
способность измерять и удовлетворять требования к конфиденциальности, доступности
и целостности.
COBIT поддерживает необходимость обеспечения безопасности как части каждой
бизнес-функции. Хотя только один процесс COBIT (DS5) специально посвящен
21
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
безопасности, цели контроля, которые
22
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
безопасности, разбросаны по различным процессам в каждом домене. В базовом
документе COBIT по безопасности [12] выделены цели управления COBIT высокого
уровня, связанные с информационной безопасностью в рамках четырех доменов
системы COBIT.
Процесс DS5 "Поставка и поддержка, обеспечение безопасности систем" выглядит
так, как будто он содержит требования ISO/IEC 27001. Он соотносится с некоторыми
элементами контроля и требованиями к системе менеджмента ISO/IEC 27001. DS5
включает 21 цель контроля:
•
DS5.1 Управление мерами безопасности
•
DS5.2 Идентификация, аутентификация и доступ
•
DS5.3 Безопасность онлайнового доступа к данным
•
DS5.4 Управление учетными записями пользователей :
•
DS5.5 Анализ руководством учетных записей пользователей
•
DS5.6 Контроль учетных записей пользователей
•
DS5.7 Охранное наблюдение
•
DS5.8 Классификация данных
•
DS5.9 Центральная идентификация и управление правами доступа
•
DS5.10 Нарушения и действия по обеспечению безопасности
•
DS5.11 Обработка инцидентов
•
DS5.12 Повторная аккредитация
•
DS5.13 Доверие контрагента
•
DS5.14 Авторизация транзакций
•
DS5.15 Неотрицание
•
DS5.16 Доверенный путь
•
DS5.17 Защита функций безопасности
•
DS5.18 Управление криптографическими ключами
•
DS5.19 Предотвращение, обнаружение и исправление вредоносного программного обеспечения
•
DS5.20 Архитектуры брандмауэров и соединения с публичными сетями
•
DS5.21 Защита электронных ценностей
3- Стандарт ISO/IEC 27001
ISO/IEC 27001 берет свое начало от кодекса надлежащей практики, опубликованного
Министерством торговли и промышленности Великобритании в 1989 году, который
постепенно превратился в BS7799 [13]. ISO/IEC 27001 определяет требования к
созданию, внедрению, эксплуатации, мониторингу, пересмотру, поддержанию и
улучшению документированной системы управления информационной безопасностью
(СУИБ) в контексте общих бизнес-рисков организации. ISO/IEC 27001 устанавливает
требования к внедрению средств контроля безопасности, адаптированных к
потребностям отдельных организаций или их частей. СУИБ призвана обеспечить
выбор адекватных и пропорциональных средств контроля безопасности, которые
защищают информационные активы и
23
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
дать уверенность заинтересованным сторонам. Предлагаемые требования
структурированы в классификацию из 11 пунктов, включающих 39 целей, на
достижение которых направлены 133 элемента управления [4,14,15].
Стандарт ISO/IEC 27001 устанавливает, как компания должна решать задачи
обеспечения
конфиденциальности,
целостности
и
доступности
своих
информационных активов и включать их в систему управления информационной
безопасностью (ISMS) [3, 5]. Этот стандарт используется во всем мире организациями,
как коммерческими, так и государственными, в качестве основы для управления
политикой организации и внедрения информационной безопасности. Его используют
малые, средние и крупные организации в самых разных отраслях бизнеса. Фактически,
стандарт разработан как достаточно гибкий, чтобы его могли использовать все типы
организаций. Стандарт стал де-факто "общим языком" для управления
информационной безопасностью [14,15].
Стандарт вводит циклическую модель, известную как модель "План-До-ПроверкиАкт" (PDCA), которая направлена на создание, внедрение, мониторинг и повышение
эффективности СУИБ организации. Цикл PDCA состоит из четырех фаз: [4,6, 7]
Цикл PDCA состоит из этих четырех фаз:
a) Фаза "План" - создание СУИБ: Установление политики, целей, процессов и
процедур СУИБ, относящихся к управлению рисками и повышению уровня
информационной безопасности для достижения результатов в соответствии с общей
политикой и целями организации.
b) Фаза "Делать" - внедрение и эксплуатация СУИБ: Внедрение и эксплуатация
политики, средств контроля, процессов и процедур СУИБ.
c) Этап "Проверка" - мониторинг и анализ СУИБ: Оценить и, где это возможно,
измерить эффективность процесса в соответствии с политикой, целями и практическим
опытом СУИБ и сообщить о результатах руководству для рассмотрения.
d) Фаза "Действие" - поддержание и улучшение ИСУП: Принятие корректирующих
и предупреждающих действий, основанных на результатах внутреннего аудита ИСУП
и анализа со стороны руководства или другой соответствующей информации, для
достижения постоянного улучшения ИСУП [4].
На рисунке 2 показана модель PDCA, примененная к процессам СУИБ.
Рисунок 2. Модель PDCA, применяемая к процессам СУИБ [4]
Одним из стандартов, поддерживающих внедрение ISO/IEC 27001, является к о д е к с
24
практики ISO/IEC 27002. Этот практический кодекс
Международный журнал по безопасности и ее
применению
Том 6, No.по
2, апрель,
2012
содержит руководство
внедрению
25
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
средства контроля информационной безопасности, определенные в стандарте ISO/IEC
27001 (Приложение A) [15]. Оба стандарта охватывают следующие области контроля:
[4,10]
Политика безопасности: В этой области рассматриваются вопросы
приверженности и поддержки политики информационной безопасности со стороны
руководства.
Организационная информационная безопасность: В этом домене подробно
описаны координация и управление общими усилиями по обеспечению
информационной безопасности организации. Также в этом домене определяется
ответственность за информационную безопасность.
Управление активами: В этом домене определены все критически важные и/или чувствительные
активы.
Безопасность человеческих ресурсов: В этой области рассматриваются вопросы
информированности и обучения пользователей. Осведомленность и обучение
пользователей могут снизить риск краж, мошенничества и ошибок.
Физическая и экологическая безопасность: Этот домен ограничивает доступ к
объектам для авторизованного персонала. Кроме того, в этой области рассматривается
ограничение ущерба, причиненного физическим объектам и информации организации.
Коммуникации и управление операциями: В этой области рассматривается риск
сбоев и их последствия. Это достигается путем обеспечения надлежащего и
безопасного использования средств обработки информации.
Контроль доступа: Этот домен обеспечивает ограничение доступа к
соответствующим системам и информации для авторизованного персонала. В этой
области также рассматриваются вопросы обнаружения несанкционированных
действий.
Управление инцидентами информационной безопасности: О событиях и слабых
местах в системе безопасности необходимо сообщать. В этом домене рассматривается
определение обязанностей и процедур управления инцидентами безопасности и
улучшениями, а также сбор доказательств инцидентов безопасности.
Приобретение, разработка и обслуживание информационных систем: В этой
области рассматриваются вопросы потери и неправомерного использования
информации в приложениях, используемых на предприятии.
Управление непрерывностью бизнеса: В этой области рассматривается
способность организации быстро реагировать на любые перебои в работе критически
важных для бизнеса систем. Перебои в работе этих систем могут быть вызваны сбоями
оборудования, инцидентами и стихийными бедствиями.
Соответствие: В этой области рассматриваются вопросы соблюдения
законодательства предприятием. Кроме того, эта область обеспечивает соблюдение и
выполнение целей, установленных руководством высшего уровня.
Эти области контроля обеспечивают всесторонний охват организационных
требований по управлению рисками в рамках всего бизнеса, включая людей,
информацию, процессы, услуги, ИТ и физические активы.
В соответствии с 11 элементами управления безопасностью ISO/IEC 27001
существует 39 целей контроля, которые перечислены в таблице 1. Эти цели контроля
охватывают функциональные требования" спецификации для архитектуры управления
информационной безопасностью организации [4].
26
Таблица 1. Цели контроля ISO/IEC
Международный журнал по безопасности и ее
применению
Том 6, A)
No. 2, апрель, 2012
27001 (Приложение
Контролирует
Цели контроля
A.5 Политика безопасности
A.5.1 Политика информационной безопасности
A.6
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
Информацио
нная безопасность
организации
27
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
A.7 Управление активами
A.7.1 Ответственность за активы
A.7.2 Классификация информации
A.8
A.8.1
A.8.2
A.8.3
A.9.1
A.9.2
Люди
безопасность
ресурсов
A.9
Физическая и
экологическая
безопасность
A.10 Коммуникации и
управление операциями
A.11 Контроль доступа
A.12
Приобретение,
разработка и обслуживание
информационных систем
A.13 Управление
инцидентами
информационной
безопасности
A.14 Бизнес
управление
непрерывностью
A.15 Соответствие
До начала работы
Во время работы
Увольнение или изменение места работы
Безопасные зоны
Безопасность оборудования
A.10.1 Операционные процедуры и обязанности
A.10.2 Управление предоставлением услуг третьими сторонами
A.10.3 Планирование и приемка системы
A.10.4 Защита от вредоносного и мобильного кода
A.10.5 Резервное копирование
A.10.6 Управление сетевой безопасностью
A.10.7 Медицинское обслуживание
A.10.8 Обмен информацией
A.10.9 Услуги электронной торговли
A.10.10 Мониторинг
A.11.1 Бизнес-требования к контролю доступа
A.11.2 Управление доступом пользователей
A.11.3 Обязанности пользователя
A.11.4 Контроль доступа к сети
A.11.5 Контроль доступа к операционной системе
A.11.6 Контроль доступа к приложениям и информации
A.11.7 Мобильные вычисления и телеработа
A.12.1 Требования к безопасности информационных систем
A.12.2 Правильная обработка и применение
A.12.3 Криптографические средства управления
A.12.4 Безопасность системных файлов
A.12.5 Безопасность в процессах разработки и поддержки
A.12.6 Управление техническими уязвимостями
A.13.1 Сообщение о событиях и слабых местах в системе
информационной безопасности
A.13.2 Управление инцидентами информационной
безопасности и их устранение
A.14.1 Аспекты информационной безопасности непрерывности
бизнеса
управление
A.15.1 Соблюдение требований законодательства
A.15.2 Соблюдение политик и стандартов безопасности и
техническое соответствие
A.15.3 Вопросы аудита информационных систем
4. Сопоставление процессов COBIT с элементами управления ISO/IEC27001
Основное различие между COBIT и ISO27001 заключается в том, что ISO 27001
ориентирован только на информационную безопасность, а COBIT - на более общие
средства контроля информационных технологий. Таким образом, COBIT шире
охватывает общие темы информационных технологий, но не содержит такого
количества подробных требований к информационной безопасности, как ISO 27001.
Если организация обращается ко всем элементам контроля безопасности в рамках ISO
27001, то в процессе работы она будет охватывать значительную часть COBIT особенно раздел DS5 "Обеспечение безопасности систем". Однако COBIT охватывает
гораздо больший набор вопросов, связанных с управлением информационными
технологиями, и обычно используется как часть общей системы корпоративного
управления.
Одним из важнейших разделов информационных технологий в рамках COBIT
является управление информационной безопасностью, которое охватывает
конфиденциальность, целостность и доступность ресурсов. Поскольку затронутые
28
Международный журнал по безопасности и ее
применению
6, No. 2,аапрель,
2012
стандартом ISO/IECТом27001,
стандарт
вопросы относятся к области, охватываемой
также рассматривает цикл PDCA в качестве инфраструктуры, лучшим
29
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
Вариантом реализации управления информационной безопасностью в инфраструктуре
COBIT является использование стандарта ISO/IEC 27001. Для сосуществования и
взаимодополняющего использования COBIT и ISO/IEC 27001 полезно сопоставление
между COBIT и ISO/IEC27001.
Цель отображения - обеспечить интегрированный способ взаимодополняющего
использования COBIT и ISO/IEC 27001 для управления информационной
безопасностью. Сопоставление ISO/IEC 27001 с процессами COBIT позволяет
организации снизить общие затраты на поддержание приемлемого уровня
безопасности, эффективно управлять рисками и снизить общий уровень риска.
Для сопоставления этих рамок исследуется каждый процесс COBIT и указываются
соответствующие ему контрольные цели ISO 27001 Annex A. В соответствии с
доменами ISO/IEC 27001:2005 и процессами COBIT, взаимосвязь между субъектами и
контрольными параметрами обоих стандартов приведена в таблице 2.
Таблица 2. Сопоставление процессов COBIT 4.0 с целями контроля ISO/IEC
27001:2005
Процессы COBIT
Планируйте и организуйте
PO1:Определение стратегического плана
ИТ
PO2:Определите информационную
архитектуру
PO3:Определить технологическое
направление
PO4:Определите процессы, организацию
и взаимоотношения в сфере ИТ
PO5:Управление инвестициями в ИТ
30
Цели контроля ISO/IEC 27001
Ни одна контрольная цель стандарта ISO/IEC
27001:2005 не была
сопоставлен с PO1
A.7.1 Ответственность за активы
A.7.2 Классификация информации
A.10.7 Медицинское обслуживание
A.10.8 Обмен информацией
A.11.1 Бизнес-требования к контролю доступа
A.5.1 Политика информационной безопасности
A.6.1 Внутренняя организация
A.10.3 Планирование и приемка системы
A.10.8 Обмен информацией
A.11.7 Мобильные вычисления и телеработа
A.14.1 Аспекты информационной
безопасности при управлении
непрерывностью бизнеса
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
A.7.1 Ответственность за активы
A.8.1 До начала работы
A.8.2 Во время работы
A.9.1 Безопасные зоны
A.9.2 Безопасность оборудования
A.10.1 Операционные процедуры и обязанности
A.10.6 Управление безопасностью сети
A.15.1 Соблюдение требований законодательства
A.15.2 Соблюдение политик и стандартов
безопасности и техническое соответствие
A.5.1 Политика информационной безопасности
A.13.2 Управление инцидентами информационной
безопасности и улучшение ситуации
PO6: Сообщать о целях и направлениях
деятельности руководства.
A.5.1
Международный журнал по безопасности и ее
применению
Том 6, No.
2, апрель, 2012
Информация безопасность
политика
6.1
Внутренняя организация
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
A.7.1 Ответственность за активы
A.8.1 До начала работы
A.8.2 Во время работы
A.8.3 Увольнение или изменение места работы
A.9.1 Безопасные зоны
A.9.2 Безопасность оборудования
A.10.7 Медицинское обслуживание
31
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
PO7:Управление человеческими
ресурсами ИТ
PO8:Управление качеством
PO9: Оценка и управление ИТ-рисками
PO10:Управление проектами
Приобрести и внедрить
AI1:Определение автоматизированных
решений
AI2:Приобретение и обслуживание
прикладного программного обеспечения
AI3:Приобрестии
поддерживатьтехно
логическую инфраструктуру.
32
A.10.8 Обмен информацией
A.10.9 Услуги электронной торговли
A.11.1 Бизнес-требования к контролю доступа
A.11.3 Обязанности пользователя
A.11.7 Мобильные вычисления и телеработа
A.12.3 Криптографические средства управления
A.13.2 Управление инцидентами информационной
безопасности и улучшение ситуации
A.15.1 Соблюдение требований законодательства
A.15.2 Соблюдение политик и стандартов
безопасности и техническое соответствие
A.8.1 До начала работы
A.8.2 Во время работы
A.8.3 Увольнение или изменение места работы
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
A.12.5 Безопасность в процессах разработки и
поддержки
A.5.1 Политика информационной безопасности
A.13.1 Сообщение о событиях и слабых местах в
системе информационной безопасности
A.14.1 Аспекты информационной безопасности при
управлении непрерывностью бизнеса
Ни одна из целей ISO/IEC 27001:2005 не была
сопоставлена с этой
процесс
A.6.1 Внутренняя организация
A.8.2 Во время работы
A.10.1 Операционные процедуры и обязанности
A.10.3 Планирование и приемка системы
A.11.6 Контроль доступа к приложениям и
информации
A.12.1 Требования к безопасности информационных
систем
A.6.1 Внутренняя организация
A.7.2 Классификация информации
A.10.3 Планирование и приемка системы
A.10.10 Мониторинг
A.11.6 Контроль доступа к приложениям и
информации
A.12.1 Требования к безопасности информационных
систем
A.12.2 Правильная обработка и применение
A.12.3 Криптографические средства управления
A.12.4 Безопасность системных файлов
A.12.5 Безопасность в процессах разработки и
поддержки
A.13.2 Управление инцидентами информационной
безопасности и улучшение ситуации
A.15.3 Соображения, связанные с аудитом
информационной системы
A.9.1 Безопасные зоны
A.9.2 Безопасность оборудования
A.10.1 Операционные процедуры и обязанности
A.12.1 Требования к безопасности информационных
систем
A.12.4 Безопасность системных файлов
A.12.5 Безопасность в процессах разработки и
поддержки
A.12.6 Управление техническими уязвимостями
AI4:Разрешить эксплуатацию и
использование
AI5:Закупка ИТ-ресурсов
Международный журнал по безопасности и ее
применению
6, No. 2, апрель, 2012
A.10.1 Операционные процедурыТом
и обязанности
A.10.3 Планирование и приемка системы
A.10.7 Медицинское обслуживание
A.13.2 Управление инцидентами информационной
безопасности и улучшение ситуации
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
A.10.8 Обмен информацией
33
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
A.12.5 Безопасность в процессах разработки и
поддержки
AI6:Управление изменениями
A.10.1 Операционные процедуры и обязанности
A.11.5 Контроль доступа к операционной системе
A.12.5 Безопасность в процессах разработки и
поддержки
A.12.6 Управление техническими уязвимостями
AI7:Установка и аккредитация решений и A.6.1 Внутренняя организация
A.8.2 Во время работы
изменений
A.9.1 Безопасные зоны
A.10.1 Операционные процедуры и обязанности
A.10.3 Планирование и приемка системы
A.12.4 Безопасность системных файлов
A.12.5 Безопасность в процессах разработки и
поддержки
Поставка и поддержка
DS1:Определение и управление уровнями A.10.2 Управление предоставлением услуг третьей
обслуживания
стороной
DS2:Управление услугами сторонних
A.6.2 Внешние стороны
производителей
A.8.1 До начала работы
A.10.2 Управление предоставлением услуг третьей
стороной
A.10.8 Обмен информацией
A.12.4 Безопасность системных файлов
A.12.5 Безопасность в процессах разработки и
поддержки
A.15.1 Соответствие законодательным требованиям
DS3:Управление производительностью и A.10.3 Планирование и приемка системы
мощностью
DS4:Обеспечение непрерывного
A.6.1 Внутренняя организация
обслуживания
A.10.5 Резервное копирование
A.14.1 Аспекты информационной безопасности при
управлении непрерывностью бизнеса
34
DS5:Обеспечение безопасности систем
Международный журнал по безопасности и ее
применению
A.5.1 Политика информационной Том
безопасности
6, No. 2, апрель, 2012
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
A.8.1 До начала работы
A.8.2 Во время работы
A.8.3 Увольнение или изменение места работы
A.9.1 Безопасные зоны
A.9.2 Безопасность оборудования
A.10.1 Операционные процедуры и обязанности
A.10.4 Защита от вредоносного и мобильного кода
A.10.6 Управление сетевой безопасностью
A.10.7 Медицинское обслуживание
A.10.8 Обмен информацией
A.10.9 Услуги электронной торговли
A.10.10 Мониторинг
A.11.1 Бизнес-требования к контролю доступа
A.11.2 Управление доступом пользователей
A.11.3 Обязанности пользователя
A.11.4 Контроль доступа к сети
A.11.5 Контроль доступа к операционной системе
A.11.6 Контроль доступа к приложениям и
информации
A.11.7 Мобильные вычисления и телеработа
A.12.2 Правильная обработка и применение
A.12.3 Криптографические средства управления
A.12.4 Безопасность системных файлов
A.12.6 Управление техническими уязвимостями
A.13.1 Сообщение о событиях и слабых местах в
системе информационной безопасности
A.13.2 Управление инцидентами информационной
безопасности и их устранение
A.15.1 Соблюдение требований законодательства
A.15.2 Соблюдение политик и стандартов
безопасности и техническое соответствие
35
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
A.15.3 Соображения, связанные с аудитом
информационной системы
DS6:Определение и распределение затрат Ни одна контрольная цель ISO/IEC 27001:2005 не
была сопоставлена с этим процессом.
DS7:Обучение и подготовка
пользователей
DS8:Управление службой технической
поддержки и инцидентами
A.8.2 Во время работы
DS9:Управление конфигурацией
A.7.1 Ответственность за активы
A.7.2 Классификация информации
A.10.7 Медицинское обслуживание
A.11.4 Контроль доступа к сети
A.12.4 Безопасность системных файлов
A.12.5 Безопасность в процессах разработки и
поддержки
A.12.6 Управление техническими уязвимостями
A.15.1 Соблюдение требований законодательства
DS10:Управление проблемами
A.13.2 Управление инцидентами информационной
безопасности и улучшение ситуации
DS11:Управление данными
A.9.2 Безопасность оборудования
A.10.5 Резервное копирование
A.10.7 Медицинское обслуживание
A.10.8 Обмен информацией
A.12.4 Безопасность системных файлов
A.15.1 Соответствие законодательным требованиям
DS12:Управление физической средой
A.6.2 Внешние стороны
A.9.1 Безопасные зоны
A.9.2 Безопасность оборудования
DS13:Управление операциями
A.9.2 Безопасность оборудования
A.10.1 Операционные процедуры и обязанности
A.10.7 Медицинское обслуживание
A.13.1 Сообщение о событиях и слабых местах в
системе информационной безопасности
A.13.2 Управление инцидентами информационной
безопасности и их устранение
A.14.1 Аспекты информационной безопасности при
управлении непрерывностью бизнеса
Мониторинг и оценка
M1:Мониторинг и оценка
производительности ИТ
36
A.10.10 Мониторинг
Международный журнал по безопасности и ее
применению
Том 6, No. 2, апрель, 2012
ME2:Мониторинг и оценка внутреннего
контроля
A.5.1 Политика информационной безопасности
A.6.1 Внутренняя организация
A.6.2 Внешние стороны
A.10.2 Управление предоставлением услуг третьей
стороной
A.10.10 Мониторинг
A.15.2 Соответствие политикам и стандартам
безопасности и техническое соответствие
A.15.3 Соображения по аудиту информационной
системы
ME3:Обеспечение соответствия
нормативным требованиям
A.6.1 Внутренняя организация
A.15.1 Соблюдение требований законодательства
A.15.2 Соблюдение политик и стандартов
безопасности и техническое соответствие
ME4:Обеспечение управления ИТ
A.5.1 Политика информационной безопасности
A.6.1 Внутренняя организация
A.10.10 Мониторинг
Здесь рассматривается ряд сценариев, в которых сопоставление COBIT и ISO/IEC
27001 может быть очень полезным.
4.1 Сценарий 1
Предположим, что в компании была внедрена система управления ИТ на основе
COBIT, а отдел информационной безопасности впоследствии также опирался на
некоторые процессы COBIT. Теперь отдел информационной безопасности решает
использовать ISO/IEC 27001. Используя подход, основанный на отображении, отдел
информационной безопасности может легко работать с другими отделами, такими как
отдел управления рисками и отдел аудита. Преимущество картографического подхода
заключается в том, что отделу информационной безопасности не нужно ничего менять,
и он может легко определить, какие цели ISO/IEC 27001 были реализованы с помощью
COBIT, а каким еще нужно уделить внимание.
4.2 Сценарий 2
Предположим, что отдел информационной безопасности компании использует ISO
27001 в качестве руководства по управлению информационной безопасностью, а отдел
аудита решил использовать COBIT в качестве системы управления ИТ. Поскольку
отдел информационной безопасности рассмотрел средства контроля безопасности в
рамках ISO 27001, следовательно, большая часть процессов COBIT уже охвачена.
Используя подход к картированию, отдел информационной безопасности не требует
дополнительных затрат и может легко определить, какие процессы из COBIT были
реализованы в ISO 27001.
4.3 Сценарий 3
Если компания внедрит систему управления ИТ на основе COBIT, поскольку она
широко охватывает темы информационных технологий, и руководство по управлению
информационной безопасностью на основе ISO/IEC 27001, поскольку оно содержит
более подробные требования к информационной безопасности, то компания сможет
лучше справиться с управлением ИТ и информационной безопасностью. Используя это
сопоставление, компания сможет внедрить обе системы без дополнительных затрат и
времени, а отдел информационной безопасности сможет легко взаимодействовать с
другими отделами, такими как отдел управления рисками и отдел аудита.
37
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
5. Заключение и дальнейшая работа
Информационная безопасность играет важную роль в защите активов организации.
Поскольку ни одна формула не может гарантировать стопроцентную безопасность,
необходим набор эталонов или стандартов, которые помогут обеспечить адекватный
уровень безопасности, эффективное использование ресурсов и применение лучших
методов защиты. Такие системы, как COBIT и ISO/IEC 27001, можно использовать
вместе в качестве основы для разработки надежного процесса информационной
безопасности. Для сосуществования и взаимодополняющего использования COBIT и
ISO/IEC 27001 в качестве эталонных рамок для управления информационной
безопасностью можно использовать отображение процессов COBIT на цели контроля
ISO/IEC 27001. В этой статье мы описали отображение между COBIT и ISO/IEC 27001.
Сопоставление ISO/IEC 27001 с процессами COBIT позволяет организации снизить
общие затраты на поддержание приемлемого уровня безопасности, эффективно
управлять рисками и снизить общий уровень риска. Кроме того, использование
отображения позволит уменьшить путаницу и отклонения, существующие между ИТ и
аудитом. В рамках будущей работы мы планируем разработать комплексную и
экономически эффективную структуру для использования организациями для
балансировки процессов ISO/IEC 27001 и COBIT.
Ссылки
[1] M. М. Элофф и С. Х. фон Солмс, "Управление информационной безопасностью: Иерархическая
структура для различных подходов", J Computers & Security, Vol. 19, (2000), pp.243-256.
[2] T. Перейра и Х. Сантос, "Структура аудита безопасности для управления безопасностью
информационных систем. Коммуникации в компьютерных и информационных науках", том 92,
(2010), стр. 9-18.
[3] K. Л. Томсон и Р. фон Солмс, "Подчинение информационной безопасности: определение", J Computers
& Security, Vol. 24, (2005), pp. 69-75.
[4] ISO/IEC 27001: 2005, "Информационные технологии - Методы обеспечения безопасности - Системы
управления информационной безопасностью - Требования", Бюро ISO, издано в Швейцарии (2005).
[5] Дж. Хисук, К. Сынчжо и В. Донхо, "Исследование сравнительного анализа систем управления
информационной безопасностью", Лекции по информатике, том 6019, (2010), стр. 510-519.
[6] A. Накрем, "Управление информационной безопасностью в организациях, тематическое
исследование", магистерская диссертация по информационным системам, (2007), Институт
информатики, факультет экономики и социальных исследований ОВЗ.
[7] N. Дейсел, "Модель аудита контроля информационной безопасности для малых и средних
организаций", магистерская диссертация по информационным системам в бизнесе на факультете
инженерии, искусственной среды и информационных технологий в Университете Нельсона Манделы
Метрополитен, (2009) январь.
[8] Институт управления ИТ (ITGI), "COBIT в академических кругах", (2004), Соединенные Штаты Америки.
[9] Ш. Сахибудин, М. Шарифи и М. Аят, "Объединение ITIL, COBIT и ISO/IEC 27002 для разработки
комплексной ИТ-системы в организациях", Труды второй Азиатской международной конференции по
моделированию и симуляции (AICSM 08), IEEE, (2008), стр. 749 - 753.
[10] Институт управления ИТ (IT Governance Institute, ITGI), "COBIT Mapping: Сопоставление ISO/IEC 17799:2000 с COBIT",
2 nd
Издание, напечатанное в Соединенных Штатах Америки, Соединенные Штаты Америки, (2000).
[11] S. Дж. Хуссейн и М. С. Сиддики, "Количественная модель COBIT для корпоративного управления
ИТ", Труды Первой международной конференции по информационным и коммуникационным
технологиям, (2005). ICICT 2005, pp. 158 - 163.
[12] Институт управления ИТ (IT Governance Institute, ITGI), "COBIT Security Baseline. Набор для
выживания в информационной безопасности", Роллинг Мидоус: Автор. Получено (2008) 30 июня с
сайта http://www.isaca.org.
[13] W. Boehmer, "Оценка эффективности и действенности системы управления информационной
безопасностью на основе ISO 27001", Труды Второй международной конференции по новейшим
информационным системам и технологиям безопасности, (2008), стр. 224-31.
[14]A. Tsohou, S. Kokolakis, C. Lambrinoudakis и S. Gritzalis, "Управление безопасностью информационных
38
Международный журнал по безопасности и ее
применению
систем: Обзор и классификация стандартов ISO", Next Generation Society, Vol.26,
Technological
and
Том 6, No.
2, апрель, 2012
Legal Issues, Part 6, (2010), pp. 220-235.
[15] Э. Хамфрис, "Стандарты управления информационной безопасностью: Соответствие, руководство и
управление рисками", J Information Security Technical Report, Vol.13, No. 4, (2008), pp. 247-55.
39
Международный журнал по безопасности и ее
применению, том 6, № 2, апрель, 2012
Авторы
Разиех Шейхпур получила степень бакалавра в области
компьютерной инженерии на факультете компьютерной инженерии
Исламского университета Азад Ирана в 2007 году. В настоящее
время она является студенткой магистратуры по компьютерной
инженерии в Исламском университете Азад Ирана. В сферу ее
научных интересов входят информационная безопасность,
управление ИТ и беспроводные сенсорные сети.
Нассер Модири получил степень магистра наук в Саутгемптонском университете
(Великобритания) и степень доктора философии в Сассекском университете
(Великобритания) в 1986 и 1989 годах соответственно. В 1988 году он присоединился к
Центру сетевых технологий в Хемел-Хемпстеде, а в 1989 году работал главным
инженером в компании System Telephone Company (STC) Telecommunications Systems,
Великобритания. В настоящее время доктор Модири является президентом компании
Ayandehgan Rayaneh Co., разрабатывающей программное обеспечение на основе вебтехнологий, а также разработчиком и исполнителем услуг информационных
технологий для сетей Intranet, активно преподавая курсы MSc в области
проектирования сетей, разработки программного обеспечения и выполняя множество
проектов MSc. В настоящее время он разрабатывает приложения для виртуальных
университетов, виртуальных парламентов, виртуальных организаций, ERP, GPS+GSM,
GPRS, RFID, технологий ISO/IEC 27000, ISO/IEC 15408.
28
Посмотреть статистику
публикаций
Скачать