Мы имеем всего 4 ключевых узла - организация, люди, процессы и технологии. Именно то, что и определяет ИБ в любой организации. Связи между ними, если посмотреть на картинку, это те "проблемы", о которых многие просто не думают или забывают - человеческий фактор, культура ИБ, архитектура ИБ, корпоративное управление ИБ и т.п.
Модель очень хорошая, но я бы все-таки ее улучшил и добавил бы к ней четыре замкнуто-циклических связи к каждому из основных узлов (ну или рассматривал бы эти темы внутри каждого узла). Для узла "люди" эту связь я бы назвал психология безопасности или психология отношения к рискам. Для узла "технологии" речь разумеется идет о развитии самих технологий ИБ. Для узла "организация" отдельно надо говорить о финансовой составляющей, т.к. мало понимать бизнес-цели предприятия, нужно еще и уметь говорить о безопасности на языке денег (NPB, IRR, PbP, пресловутый ROI и т.п.). Ну а для узла "процессы" обязательно надо не забыть про систему качества.
ЗЫ. Сам документ можно скачать с сайта ISACA.
Вряд ли стоит восхищаться картинкой...
ОтветитьУдалитьТакие картинки рисовать очень просто...
берем 4-5 основных объектов (субъективно) основные связи (каждый с каждым) и свойства отношений (субъективно) по сути картинка ради картинки...
Всетаки, если самолет красивый - не факт что полетит ...
Но один из способов представить свое субъективное мнение схемой "ниочем" встречается часто.
Субъективность можно показать на примере...
"есть некая фирама из 3х человек - директора, менеджера и программиста. И вот эта фирма работала над получением огромного гранда на разработку. И через пол года получила". Все работали по своим направлениям...НО
Оказывается что нет никаких методов чтобы оценить чей вклад в цепь событий был решающим для достижения цели!!!
Каждый сотрудник считает что именно его какой то шаг привел к получению гранда, может быть они даже поняли что каждый внес свой вклад... НО
На самом деле гранд они получили совсем по другим причинам с их поступками никак не связанным !!!
Примерно то же самое с ИБ - попробуйте предложить метод оценки - почему ваша контора НЕ пострадала из за вопросов ИБ ?
Примерно то же самое с ИБ - попробуйте предложить метод оценки - почему ваша контора НЕ пострадала из за вопросов ИБ ?
ОтветитьУдалитьПри этом другой парадокс - для того чтобы получить фактические данные по вопросам ИБ - необходимо иметь не только средства ИЗ но и средства анализа и т.д и т.п.
а если не появится фактов - то зачем вкладывали деньги ну и т.п.
Вывод простой - чем дальше в лес - тем больше дров !!!
Ничего не понял ;-)
ОтветитьУдалитьНу.. эээ... как нибуть за бутылочкой виски... )))
ОтветитьУдалитьПлюс в этой картинке не в ее красоте, а в ее смысле ;-) Нечасто видишь картинки, в которых ИБ не концентрируется на технологиях, а учитывает гораздо более важные составляющие.
ОтветитьУдалитьКартинка не впечатлила. Непонятно, для какой задачи она может быть полезна. Видеть перед глазами природу факторов риска?
ОтветитьУдалитьИ где на схеме узел "ресурсы"?
Для понимания ИБ во всем ее многообразии. Это же модель.
ОтветитьУдалитьЧто касается ресурсов, то о каких идет речь? Людских? Есть в узле "people". Информационных? В узле "organization" или "technology".
Позволю себе не согласиться.
ОтветитьУдалитьЭто не модель, а просто концепция. Моделью она была бы, если бы была понятна степень взаимосвязи узлов.
Говоря о ресурсах - имел ввиду в первую очередь информационные ресурсы. Узел "technology" не может определять ценность активов, используемых людьми посредством технологий для реализации процессов.