Обзор COBIT5 for IS. Enablers. Services, Infrastructure and Applications

20.07.2012 Прозоров Андрей Алексеевич, Эксперт по ИБ

Сейчас я активно изучаю COBIT5 fo IS. Про общие впечатления от документа и основные моменты я уже писал туттут и тут. Сейчас же  хочу рассказать об одном из элементов системы ИБ / движущей силе (enabler), а именно "Services, Infrastructure and Application". В порядке описания COBIT этот элемент является 6 из 7, однако, он мне особо интересен сейчас (в связи с решаемыми мной рабочими вопросами), поэтому начал именно с него.


Итак...


В текстовой части стандарта на этот элемент отведено всего 2 страницы, на которых дается стандартная для всех движущих сил (enablers) модель, содержащая Заинтересованных лиц, Цели, Жизненный цикл и Лучшие практики для рассматриваемого элемента. Особой ценности она не несет, однако, надо понимать, что все движущие силы рассматриваются именно в разрезе этих 4х сущностей. Также тут дается перечень сервисов, связанных с ИБ, на которые я сначала не обратил внимание, т.к. посчитал их просто примером типовых сервисов. Но именно они и раскрываются в Приложении А (на 11 страниц текста/таблиц). 


Общий перечень сервисов и их описание

Сервисов ИБ всего 10, каждому из них соответствует определенный набор Service Capability (я их перевожу, как направления, но это не совсем корректно):

  1. Provide a security architecture рхитектура ИБ)
    • Include IS in architecture
    • Maintain security architecture
    • Set up and maintain asset inventory
    • Provide IS configuration management
    • Set up and maintain infrastructure discovery
  2. Provide security awareness (Повышение осведомленности в ИБ)
    • Provide IS communications (enabling awareness and training
  3. Provide secure development (development in line with security standards) (Проектирования и планирование с учетом ИБ)
    • Develop secure coding practices
    • Develop secure infrastructure libraries
  4. Provide security assessments (Оценка ИБ) 
    • Perform IS assessments
    • Perform information risk assessments
  5. Provide adequately secured and configured systems, in line with security requirements and security architecture ("Усиление" ИБ)
    • Provide adequately secured hardened and configured systems, in line with IS requirements and IS architecture
    • Provide device IS protection
    • Provide physical information protection
  6. Provide user access and access rights in line with business requirements (Управление правами доступа)
    • Provide authentication services
    • Provide IS provisioning services
    • Evaluate IS entity classification services
    • Provide revocation services
    • Provide user authentication and authorisation rights in line with business requirements
  7. Provide adequate protection against malware, external attacks and intrusion attempts (Защита от вредоносного кода, внешних и внутренних атак)
    • Provide IS and countermeasures for threats (internal and external)
    • Provide data protection (in host, network, cloud and storage)
  8. Provide adequate incident response (Реагирование на инциденты)
    • Provide IS escalation service
    • Provide IS forensics (analysis)
  9. Provide security testing (Тестирование системы ИБ)
    • Perform IS testing.
  10. Provide monitoring and alert services for security-related events (Мониторинг событий ИБ)
    • Provide monitoring service for IS processes and events.
    • Provide alerting and reporting service for IS practices, processes and events.
    • Provide IS measurements and metrics (key goal indicators [KGIs), key performance indicators [KPIs], etc.).
Каждый из сервисов описывается по следующей схеме (3 таблицы):
  • Description of the Service Capability (Описание направления реализации сервиса (лучше придумать не смог)):
    • Service Capability / Наименование направления
    • Description / Краткое описание
  • Attributes (Атрибуты):
    • Service Capability / Наименование направления
    • Supporting Technology / Поддерживающая технология
    • Benefit / Преимущество использования
  • Goals (Цели):
    • Service Capability / Наименование направления
    • Quality Goal / Качественные цели
    • Metric / Метрики
Общая идея, на что сделан основной упор:
  1. Security architecture
    • Инвентаризация активов
    •  и понимание общей ИТ-архитектуры (границы, входы/выходы, основные элементы, кол-во лицензий и их цена)

    • Управление конфигурациями элементов ИТ (корпоративные стандарты по настройке)
    • Контроль внесения изменений
    • и пр.
  2. Security awareness
    • Тренинги и повышение осведомленности (в том числе и для снижение риска проведения успешных атак с использование соц.инженерии)
    • и пр.
  3. Secure development
    • Понимание принципов и подходов ИБ при создании программных продуктов (в том числе и для web-приложений)
    • и пр.
  4. Security assessments
    • Проведение аудитов ИБ (оценка соответствия и оценка уязвимостей)
    • Проведение оценки рисков ИБ
    • и пр.
  5. Adequately secured and configured systems, aligned with security requirements and security architecture
    • Управление патчами
    • Использование виртуализации и "облаков"
    • Защита мобильных устройств
    • Обеспечение физической безопасности
    • и пр.
  6. User access and access rights in line with business requirements
    • Аутентификация пользователей
    • Анализ и контроль времени доступа
    • Категорирование и группировка пользователей по правам доступа, предоставление минимальных прав доступа
    • Возможность быстрой отмены прав доступа
    • и пр.
  7. Adequate protection against malware, external attacks and intrusion attempts
    • Криптография
    • Межсетевые экраны
    • Антивирусы
    • DLP 
    • и пр.
  8. Adequate incident response
    • Эскалация информации об инцидентах
    • Расследование/анализ инцидентов
    • и пр.
  9. Security testing
    • Тестирование на проникновение и анализ системы безопасности
    • и пр.
  10. Monitoring and alert services for security-related events
    • Управление логами / SIEM
    • KPI, KGI и другие показатели
    • и пр.


Общие выводы

  1. С каждой новой прочитанной страницей COBIT5 мне все больше и больше нравится идея/модель выделения 7 движущих сил (Enablers). Я начинаю лучше понимать суть и проникаюсь идеей.
  2. Обратите внимание! В этом блоке дается упор именно на связь сервисов/приложений/инфраструктуры, т.е. скорее на средства защиты и мониторинга, нежели на сами процедуры. Это очень важно для понимания идеологии COBIT5. Процедуры, организационные структуры и пр. вынесены в отдельные движущие силы (Enablers). Это хорошо видно на примере сервиса по управлению инцидентами. В данном блоке инциденты рассматриваются не с точки зрения того, как быстро восстановить работу систем (что является основной целью процесса управления инцидентами), а каким образом можно получать информацию об уязвимостях и патчах, какими средствами расследовать инциденты.
  3. Считаю, что сама идея выделения сервисов ИБ очень здравая, но приведенная группировка не самая удачная. В существующем виде ее не удобно использовать. Вот, что мне бросилось в глаза:
    • Некоторые сервисы намного шире других и по технологиям и по рекомендациям (например 7й в сравнении со 2м)
    • 4й и 6й сервисы частично дублируют друг друга в части сетевой безопасности
    • Не удобно то, что сервис Security testing выделен в отдельный сервис, а не объединен с  Security assessments. Аналогично и  Monitoring and alert services for security-related events мог бы быть включен в Security assessments
    1. Порадовало наличие метрик под конкретные сервисы ИБ. Например, в том же СУИБ по ISO 27001 требуется мониторить и проводить анализ ИБ. Для этих процессов обычно и используются метрики. При этом в ISO 27001/27002 примеров метрик нет, а в ISO 27004 явно не полный и не самый удобный перечень (про это писал тут). Поэтому метрики из COBIT5 for IS хорошо дополняют картину, позволяют взглянуть на задачу оценки ИБ с другой стороны.