SlideShare a Scribd company logo

пр все про Cobit5 для dlp expert 2013-12

Download as PPTX, PDF
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
1 of 67
Идеи и модели COBIT5 для специалистов по информационной безопасности Прозоров Андрей Ведущий эксперт по информационной безопасности BISA 12-2013
Прозоров Андрей Ведущий эксперт по информационной безопасности InfoWatch, блог «Жизнь 80 на 20» http://80na20.blogspot.ru Твиттер: @3dwave 2
Содержание 1. Как я пришел к COBIT5? Почему COBIT5? 2. COBIT5 Intro 3. Библиотека COBIT5 4. Принципы 5. Факторы влияния (enablers) и ИБ 6. Модель внедрения 7. Оценка возможностей процессов 8. Сертификация специалистов 3
Как я пришел к COBIT5? • Комплексная ИБ • Важные процессы • PDCA (конфигурация, инциденты • Модель зрелости процессов • «Процессный подход» и проблемы, изменения…) • Связь ИТ и бизнеса ISO 27001 ITIL COBIT 4.1 BS 25999 NIST • Управление непрерывностью COBIT 5 • Детализированные меры ИБ • Много документов для разных задач ИБ 4
Почему COBIT5? 1. Удачный набор документов, много рекомендаций (статьи и форумы). Удобная модель распространения документов (много бесплатных) 2. Очень много моделей, схем, таблиц и примеров. Много идей из других «лучших практик» (PMBOK, ITIL, ISO, NIST, ISACA…) 3. Ориентир на стейкхолдеров, +каскад целей 4. Удобное описание процессов (Purpose, Goals and Metrics, Inputs / Outputs, Process Practice and Activities, RACI Chart) 5. Удачная модель внедрения/совершенствования 6. Комплексный подход (факторы влияния – enablers) 7. Маппинг (ISO 27001/27002 (2005), NIST 800-53 A rev.1 5
COBIT 5 Intro 6
Введение Информация является критически важным ресурсом для всех предприятий. На всех этапах своего жизненного цикла информация критичным образом зависит от специализированных технологий. Предприятиям и их руководителям следует: • Поддерживать высокое качество информации для принятия управленческих решений • Создавать ценность для бизнеса, реализуя инвестиции, связанные с ИТ (достигать стратегических целей и получать выгоду путем эффективного и инновационного использования ИТ) • Совершенствовать операционную модель, надежно и рационально применяя технологии • Обеспечивать приемлемый уровень ИТ-рисков • Оптимизировать затраты на ИТ-услуги и технологии • Повышать степень соблюдения законов, норм, договорных обязательств и политик, связанных с применением ИТ 7
А вот и COBIT5 COBIT 5 предлагает целостную методологию, которая призвана помочь в решении задачи руководства и управления ИТ на предприятии. COBIT 5 помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов. COBIT 5 Home - www.isaca.org/COBIT/Pages/default.aspx COBIT 5 FAQ - www.isaca.org/COBIT/Pages/FAQs.aspx COBIT 5 News - www.isaca.org/COBIT/Pages/News.aspx 8
COBIT5 Framework • COBIT5: A Business Framework for the Governance and Management of Enterprise IT (94 стр. 05-2012) • Есть перевод на русский язык, COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии (09-2013 bit.ly/194ez7O ) Кстати, COBIT - Control Objectives for Information and Related Technology (Задачи информационных и смежных технологий) 9
История развития Evolution of scope Governance of Enterprise IT IT Governance Val IT 2.0 (2008) Management Control Risk IT (2009) Audit COBIT1 1996 COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 2005/7 COBIT 5 2012 10
COBIT 5 Библиотека 11
12
Библиотека COBIT5 (для ИБ) COBIT 5 (Framework) COBIT 5 Enabler Guides Enabling Processes Enabling Information COBIT 5 Professional Guides Assessment Programme + for Assurance Implementation + for Information Security for Risk COBIT 5 Online Collaborative Environment http://www.isaca.org/COBIT/Pages/Product-Family.aspx 13
Прочие документы с идеями COBIT5 • Securing Mobile Devices: Using COBIT 5 for Information Security • Vendor Management Using COBIT5 (+toolkit) • Configuration Management: Using COBIT5 • Transforming Cybersecurity: Using COBIT 5 • Responding to targeted cyberattacks • APT: How to manage the risk to your business 14
COBIT5-Tool-Kit (Implementation) PowerPoint presentations: 01. Readme-With-Copyright-Disclaimer 02. COBIT5-Introduction - ppt 03. COBIT5-ExecSummary - ppt 04. COBIT5-Compare-With-4.1 - ppt 05. COBIT5-for-InfoSec - ppt 06. COBIT5-and-InfoSec-Spanish - ppt 07. COBIT5-and-GRC - ppt 08. COBIT5-for-Assurance - ppt 09. IT-BSC-Example - ppt 10. COBIT5-Key-Audience-MarketingMessages - doc Self-assessment, measurement and diagnostic tools: 11. COBIT5-Governance-and-ManagementPractices-Activities - xls 12. Management-Awareness-Diagnostic – xls Other: 13. Balanced-Scorecard-Case-Study – pdf 14. COBIT5-FAQs - pdf 15. COBIT5-Laminate - pdf 16. Where-Have-All-the-Control-ObjectivesGone - pdf 17. Overviews-ISACA-FWs-Gdnc-Intgrtd-inCOBIT5 - pdf bit.ly/1dtRP4k 15
COBIT 5 Принципы 16
Принципы COBIT5 17
1.Соответствие потребностям заинтересованных сторон (Meeting Stakeholder Needs) Предприятия существуют для того, чтобы создавать ценность для заинтересованных сторон (стейкхолдеры), путем поддержания баланса между получением выгоды и оптимизацией рисков и ресурсов. 18
Каскад целей • Financial / Финансы • Customer / Заказчик • Internal / Внутр.управление • Learning and Growth / Обучение и развитие 17 (BSC) 17 Зачем? Для определения приоритетов развития, «выравнивание» целей бизнеса и ИТ/ИБ 19
Примеры таблиц 20
2.Комплексный взгляд на предприятие (Covering the Enterprise End-to-end) COBIT 5 встраивает руководство предприятием в целом, то есть: • • ИТ в руководство Рассматривает все функции и процессы предприятия. COBIT 5 нацелен не только на реализацию «ИТ-функции», но рассматривает информацию и связанные с ней технологии как активы предприятия, которыми следует управлять, как и любыми другими активами. Исходит из того, что факторы влияния руководства и управления, связанные с ИТ, работают на всем предприятии и по всей цепочки создания ценности, и включают в себя все внутренние и внешние аспекты и роли, которые имеют отношение к руководству и управлению ИТ. 21
3.Применение единой интегрированной методологии 3. (Applying a Single Integrated Framework) В COBIT 5 реализовано соответствие основным стандартам и «лучшим практикам ISO 27001 / ISO 27002 (2005), ITIL V3, PMBOK и PRINCE2, NIST SP 800-53A Rev. 1, The ISF 2011, «старые» материалы ISACA (VAL IT, RISK IT, BMIS, COBIT 4.1), TOGAF… 22
Методология COBIT 5 является единым и целостным подходом потому что: • Она соответствует новейшим стандартам и подходам, а, следовательно, предприятия могут использовать COBIT 5 в качестве интеграционной методологии для всех подходов к руководству и к управлению. • Она описывает предприятие целиком, предоставляя основу для эффективной интеграции других подходов, стандартов и практических приемов. Единый подход служит целостным источником рекомендаций, написанным технологически независимым, простым языком. • Она обладает простой архитектурой, позволяющей легко структурировать рекомендации в целостный набор публикаций. • Она объединяет знания, ранее размещенные в различных подходах ISACA. Исследуя различные области управления предприятием на протяжении многих лет, ассоциация ISACA разработала ряд подходов и рекомендаций в помощь предприятиям, таких как COBIT, Val IT, Risk IT, BMIS, Board Briefing on IT Governance и ITAF. Методология COBIT 5 интегрирует все эти знания. 23
24
4.Обеспечение целостного подхода (Enabling a Holistic Approach) Эффективное и рациональное руководство и управление ИТ на предприятии требует целостного подхода, с учетом многих взаимосвязанных компонентов. В COBIT 5 описан набор факторов влияния, которые обеспечивают внедрение системы руководства и управления ИТ на предприятии. Факторы влияния – это взаимосвязанные сущности, которые способствуют решению задач предприятия. 25
Факторы влияния (enablers) 26
Общая модель факторов влияния 27
5.Разделение Руководства и Управления (Separating Governance From Management) Governance || Management 28
Руководство обеспечивает уверенность в достижении целей предприятия путём: • сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; • установления направления развития через приоритизацию и принятие решений; • постоянного мониторинга соответствия фактической продуктивности и степени выполнения требований, установленным направлению и целям предприятия. Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия. 29
Ключевые области руководства и управления Align, Plan and Organise Deliver, Service and Support Build, Acquire and Implement 30 Monitor, Evaluate and Assess
Эталонная модель процессов 31
COBIT 5 Факторы влияния (enablers) и информационная безопасность 32
Книги про факторы влияния (enablers) • • • • COBIT5 COBIT5 for Information Security COBIT5 Enabling Processes COBIT5 Enabling Information 33
Е1.Принципы, политики и подходы Support the business // Поддержка бизнеса • Focus on the business // Фокус на бизнес • Deliver quality and value to stakeholders // Предоставление качества и ценности для заинтересованных лиц • Comply with relevant legal and regulatory requirements // Соответствие требованиям регуляторов • Provide timely and accurate information on IS performance // Предоставление своевременнной и точной информации о состоянии ИБ • Evaluate current and future information threats // Оценка текущих и будущих угроз ИБ • Promote continuous improvement in IS // Постоянное совершенствование Defend the business // Защита бизнеса • Adopt a risk-based approach // Использование рискориентированного подхода • Protect classified information // Защита конфиденциальной информации • Concentrate on critical business applications // Концентрация на критичных для бизнеса системах • Develop systems securely // Разработка надежных систем Promote responsible IS behaviour // Поощрение ответственного поведения (ИБ) • Act in a professional and ethical manner // Ориентир на профессиональную этику • Foster an IS-positive culture // Способствование положительной культуры ИБ 34
Примеры политик ИБ • Information security policy • Access control policy • Personnel information security policy • Physical and environmental information security policy • Incident management policy • Business continuity and disaster recovery policy • Asset management policy • Rules of behaviour (acceptable use) • Information systems acquisition, software development and maintenance policy • Vendor management policy • Communications and operation management policy • Compliance policy • Risk management policy 35
E2.Процессы На что обратить внимание ИБ? 36
Что в процессах? • Назначение и описание процесса • Цели и метрики процесса • Управляемые практики (входы и выходы) Например, APO13 Manage Security: • APO13.01 Establish and maintain an information security management system (ISMS) • APO13.02 Define and manage an information security risk treatment plan • APO13.03 Monitor and review the ISMS Например, DSS05 Manage Security Services: • • • • • • • DSS05.01 Protect against malware DSS05.02 Manage network and connectivity security DSS05.03 Manage endpoint security DSS05.04 Manage user identity and logical access DSS05.05 Manage physical access to IT assets DSS05.06 Manage sensitive documents and output devices DSS05.07 Monitor the infrastructure for security-related events • Активности (Рекомендации) • RACI-Chart 37
R – Responsible A – Accountable C – Consulted I – Informed 38
39
Е3.Организационные структуры. Роли • • • • • Chief information security officer (CISO) Information security steering committee (ISSC) Information security manager (ISM) Enterprise risk management (ERM) committee Information custodians/business owners • • • • • • • • • • • Board Chief Executive Officer Chief Financial Officer Chief Operating Officer Chief Risk Officer Head Human Resources Compliance Audit Business Continuity Manager Privacy Officer … 40
E4.Культура, этика и поведение Культура ИБ 1. Сотрудники применяют подходы ИБ в повседневной деятельности 2. Сотрудники понимают важность политик и принципов ИБ 3. Сотрудники обеспечены необходимыми материалами и "лучшими практиками" по ИБ и приглашаются к участию при решении вопросов, связанных с ИБ 4. Каждый сотрудник несет ответственность за ИБ в компании 5. Заинтересованные стороны осведомлены о наличии угроз ИБ и определяют подход к реагированию на них 6. Руководство активно поддерживает развитие ИБ 7. Руководители подразделений обеспечивают эффективные коммуникации между отделами при решении задач ИБ 8. Высшее руководство признает ценность ИБ для бизнеса 41
Лидерство Лидеры своим примером и словами показывают приверженность ценностям и принципам. Лидерами могут быть любые сотрудники, но особо важна поддержка: – Information security professionals – C-level executives: CEO, COO, CFO, CIO – Head of HR – Risk managers 42
Лидерство может выражаться в следующих направлениях: • Повседневные коммуникации, определение и контроль правил (норм) • Использование систем стимулов и вознаграждений • Повышения осведомленности 43
Е5.Информация 44
Примеры типов информации • • • • • Information security strategy Information security budget Information security plan Policies Information security requirements, which may include: – Information security configuration requirements – SLA/OLA information security requirements • Awareness material • Information security service catalogue • Information risk profile, which includes: – Information risk register – Breaches and loss reports (consolidated incident report) • Information security review reports, which include: – Information security audit findings – Information security maturity report – Information security-related risk management: • Threat analysis • Vulnerability (information security) assessment reports • Information security dashboard (or equivalent), which includes: – Information security incidents – Information security problems – Information security metrics 45
Заинтересованные стороны и информация (ИБ) A—Approver O—Originator I—Informed of information type U—User of information type 46
Е6.Услуги, инфраструктура и приложения Security-related services (in a service catalogue): • Provide a security architecture • Provide security awareness • Provide secure development (development in line with security standards) • Provide security assessments • Provide adequately secured and configured systems, in line with security requirements and security architecture • Provide user access and access rights in line with usiness requirements • Provide adequate protection against malware, external attacks and intrusion attempts • Provide adequate incident response • Provide security testing • Provide monitoring and alert services for security-related events 47
Е7.Люди, навыки и компетенции Компетенции в ИБ 1. Руководство ИБ (Governance) 2. Разработка стратегии ИБ 3. Управление рисками ИБ 4. Разработка архитектуры ИБ 5. Операционная деятельность в ИБ 6. Оценка, проверка и соответствие требованиям (compliance) COBIT5 рассматривает Опыт, Квалификацию (сертификаты), Знания и навыки
Навыки по COBIT5 • • • • • • • • • • • • Лидерство Процессное мышление Системное мышление Стратегическое мышление Ориентация на задачи бизнеса Абстрактное мышление Ориентир на решение проблемы Аналитическое мышление, внимание к деталям Навыки управления проектами и персоналом Сильные навыки управления временем !!!См.связь с Этичное поведение компетенциями Хорошие навыки переговорщика, Сильные коммуникативные навыки, способность коммуницировать на всех уровнях организации
COBIT 5 Модель внедрения 50
Модель внедрения 51
Фазы жизненного цикла 1. What are the drivers? / Что нами движет? Определяются потребности внедрения или инициативы по совершенствованию, выявляются "болевые точки" и события-триггеры, которые запускают процесс. 2. Where are we now? / Где мы находимся сейчас? Определяется контекст и охват внедрения (scope), сопоставлются цели ИТ с целями бизнеса, оцениваются риски ИТ и уровень зрелости процессов. 3. Where do we want to be? / Где мы хотим оказаться? Определяются цели совершенствования. 4. What needs to be done? / Что нужно сделать? Производится планирование практических решений и инициация проектов. 5. How do we get there? / Как мы туда попадем? Происходит внедрение выбранных решений в повседневную практику. 6. Did we get there? / Удалось ли выполнить задуманное? Отслеживаются полученные выгоды и обеспечивается устойчивая работа новых или измененных факторов влияния. 7. How do we keep the momentum going? / Как сохранить импульс/развитие? Оценивается успех инициативы в целом, выявляются дальнейшие требования к руководству и управлению ИТ, а постоянному совершенствованию дается дополнительный импульс. 52
COBIT5 Implementation • Примеры "болевых точек" и событий-триггеров, • Ожидания внутренних и внешних заинтересованных сторон • Детальное рассмотрение этапов/фаз: • • • • • Phase objective / Цель этапа Phase description / Описание этапа Continual improvement (CI) tasks / Задачи постоянного улучшения Change enablement (CE) tasks / Задачи по изменению Programme management (PM) tasks / Задачи по управлению программой • Input / Вход • ISACA materials and other frameworks / Дополнительные материалы • Output / Выход • Таблицы связи "вызовов" (challenges) с причинами и факторами успеха (root causes, success factors) • Таблицы основные ролей и RACI-chart 53
COBIT 5 Оценка возможностей процессов 54
Зрелость vs Возможности процессов COBIT 4.1 Maturity Model COBIT 5 Process Capability Model 55
COBIT5 Process Capability Model (Книги) • COBIT5 (Framework) • COBIT Process Assessment Model (PAM): Using COBIT 5 – 144 стр. • COBIT Assessor Guide: Using COBIT 5 – 52 стр. • COBIT Self-Assessment Guide: Using COBIT 5 - 24 стр • + 2 exel-файла: "COBIT5-Assessment-Scoping-Tool" и "COBIT5-Self-assessment-Templates" 56
COBIT 5 Process Capability Model 1 • Level 5: Optimising process (Оптимизированный) Предсказуемый процесс предыдущего уровня теперь постоянно совершенствуется, чтобы обеспечивать достижение текущих и будущих целей предприятия. • Level 4: Predictable process (Предсказуемый) Установленный процесс предыдущего уровня теперь получает результаты в условиях заданных ограничений. • Level 3: Established process (Установленный) Управляемый процесс предыдущего уровня теперь способен получать ожидаемые результаты. • Level 2: Managed process (Управляемый) Осуществлённый процесс предыдущего уровня теперь управляем (то есть планируется, отслеживается и корректируется). Создаются, контролируются и поддерживаются рабочие продукты процесса. • Level 1: Performed process (Осуществленный) Процесс внедрен и соответствует своему назначению. • Level 0: Incomplete process (Неполный) Такой процесс еще не внедрен или не способен соответствовать своему назначению.На этом уровне отсутствуют свидетельства систематического достижения процессом своих целей, или таких свидетельств мало. 57
COBIT 5 Process Capability Model 2 58
COBIT 5 Сертификация специалистов 59
COBIT 5 Foundation Exam COBIT 5 Implementation Exam COBIT 5 Assessor Exam 60
COBIT 5 Foundation Exam 1 • • • • • • On-line экзамен на английском языке 260$ 50 вопросов, выбор 1 из 4 надо ответить верно 25+ 40 минут Без книг 61
COBIT 5 Foundation Exam 2 Темы: • The COBIT 5 Enablers • The COBIT 5 Principles • Process Capability Assessment Model • Introduction to COBIT 5 Implementation • Overview & Key Features of COBIT 5 (Расположены по кол-ву вопросов по убыванию) 62
COBIT 5 Foundation Exam 3 • Примеры вопросов: http://bit.ly/1enwL02 • Все на 1 странице (выучить): https://t.co/50gfmC2hjV • Мой блог (посты про COBIT): http://80na20.blogspot.ru/search/ label/COBIT 63
Все экзамены COBIT5 Exam Format Prerequisite COBIT 5 Foundation Exam COBIT 5 Implementation Exam COBIT 5 Assessor Exam None • Successful completion of the COBIT 5 Foundation Exam • Successful completion of the COBIT 5 Implementation Course • Successful completion of the COBIT 5 Foundation Exam • Successful completion of the COBIT 5 Assessor Course • Multiple Choice format • 50 questions per paper • 25 mark or more required to pass (out of 50 available) 50% • 40 minute duration • Closed book. • Objective testing • 4 questions per paper with 20 marks available per question • 40 marks or more required to pass (out of 80 available) 50% • 2 ½ hours duration • Open book (‘COBIT 5 Implementation’ book only). • Objective testing • 8 questions per paper with 10 marks available per question • 40 marks or more required to pass (out of 80 available) - 50% • 2 ½ hours duration • Open book (‘COBIT 5 Assessor Guide: Using COBIT 5’ and ‘COBIT Process Assessment Model (PAM): Using COBIT 5’ books only). 64
65
А хотите еще вебинары по COBIT5? Пример тем: 1. Экзамен COBIT5 Foundation 2. Модель внедрения COBIT5 (implementation) 3. Подробнее про движущие силы (enablers) 4. Процессная модель COBIT5 5. Модель зрелости/возможности процессов 6. Подробнее про книги COBIT5 7. COBIT5 и ИБ (чуть «глубже») 8. … 66
И контакты… http://www.infowatch.ru @InfoWatchNews http://bis-expert.ru @DLP_Expert http://80na20.blogspot.ru @3dwave

Recommended

пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 

Recommended

пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Книга про измерения (ITSM)
Книга про измерения (ITSM)Книга про измерения (ITSM)
Книга про измерения (ITSM)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. ItsmAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More Related Content

What's hot

Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 

What's hot (20)

Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. Itsm
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБ
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 

Viewers also liked

Журнал «!Безопасноть деловой информации» №4
Журнал «!Безопасноть деловой информации» №4Журнал «!Безопасноть деловой информации» №4
Журнал «!Безопасноть деловой информации» №4DLP-Эксперт
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиRISClubSPb
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеPositive Hack Days
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 

Viewers also liked (18)

пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Журнал «!Безопасноть деловой информации» №4
Журнал «!Безопасноть деловой информации» №4Журнал «!Безопасноть деловой информации» №4
Журнал «!Безопасноть деловой информации» №4
 
пр аналитика по утечкам (Info watch)
пр аналитика по утечкам (Info watch)пр аналитика по утечкам (Info watch)
пр аналитика по утечкам (Info watch)
 
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11пр аналитика по утечкам информации (Data breach) 1.0 2013 11
пр аналитика по утечкам информации (Data breach) 1.0 2013 11
 
пр работа с информацией 2014 09
пр работа с информацией 2014 09пр работа с информацией 2014 09
пр работа с информацией 2014 09
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасности
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоров
 
Презентация для студентов про работу
Презентация для студентов про работуПрезентация для студентов про работу
Презентация для студентов про работу
 
Современные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защитеСовременные DDoS-атаки: тенденции, опасность, подходы к защите
Современные DDoS-атаки: тенденции, опасность, подходы к защите
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Mm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex aMm iso 27001 2013 +annex a
Mm iso 27001 2013 +annex a
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 

Similar to пр все про Cobit5 для dlp expert 2013-12

Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"Kate Koltunova
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
2012 03 22_бизнес-процессы
2012 03 22_бизнес-процессы2012 03 22_бизнес-процессы
2012 03 22_бизнес-процессыReshetnikov Alexander
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовAlexey Evmenkov
 
Процессы управления ИТ-архитектурой организации
Процессы управления ИТ-архитектурой организации Процессы управления ИТ-архитектурой организации
Процессы управления ИТ-архитектурой организацииAlexander Tsimbalistov
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияIBS
 
Model for Improvement and ROI in IT, 4CIO 03/06/2010
Model for Improvement and ROI in IT, 4CIO 03/06/2010Model for Improvement and ROI in IT, 4CIO 03/06/2010
Model for Improvement and ROI in IT, 4CIO 03/06/2010Michael Kozloff
 
Model for-improvement-and-roi-in-it-4cio-030610
Model for-improvement-and-roi-in-it-4cio-030610Model for-improvement-and-roi-in-it-4cio-030610
Model for-improvement-and-roi-in-it-4cio-030610Oleg Soroka
 
Организационная Архитектура EA Enterprise Architecture
Организационная Архитектура EA Enterprise ArchitectureОрганизационная Архитектура EA Enterprise Architecture
Организационная Архитектура EA Enterprise ArchitectureTOR
 
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Grigoriy Chkheidze
 
Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)
Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)
Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)Sergey Orlik
 
К истокам преподавания процессного подхода
К истокам преподавания процессного подходаК истокам преподавания процессного подхода
К истокам преподавания процессного подходаABPMP Russian Chapter
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...Илья Лившиц
 
Как выжить глобальной корпорации?
Как выжить глобальной корпорации?Как выжить глобальной корпорации?
Как выжить глобальной корпорации?CEE-SEC(R)
 
2013 12 design-design-environment
2013 12 design-design-environment2013 12 design-design-environment
2013 12 design-design-environmentDmitry Bezuglyy
 
Клуб Архитекторов 22.04.2010
Клуб Архитекторов 22.04.2010Клуб Архитекторов 22.04.2010
Клуб Архитекторов 22.04.2010Sergey Orlik
 
Моделирование корпоративной архитектуры
Моделирование корпоративной архитектурыМоделирование корпоративной архитектуры
Моделирование корпоративной архитектурыSQALab
 
Внедрение гибкой методологии управления проектами в Danske bank
Внедрение гибкой методологии управления проектами в Danske bankВнедрение гибкой методологии управления проектами в Danske bank
Внедрение гибкой методологии управления проектами в Danske bankAlbina Iskhakova
 

Similar to пр все про Cobit5 для dlp expert 2013-12 (20)

пр Cobit5 (обзор)
пр Cobit5 (обзор)пр Cobit5 (обзор)
пр Cobit5 (обзор)
 
Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
2012 03 22_бизнес-процессы
2012 03 22_бизнес-процессы2012 03 22_бизнес-процессы
2012 03 22_бизнес-процессы
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
 
Процессы управления ИТ-архитектурой организации
Процессы управления ИТ-архитектурой организации Процессы управления ИТ-архитектурой организации
Процессы управления ИТ-архитектурой организации
 
Кризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решенияКризис результативности ИТ: фиксируем проблему, ищем решения
Кризис результативности ИТ: фиксируем проблему, ищем решения
 
Model for Improvement and ROI in IT, 4CIO 03/06/2010
Model for Improvement and ROI in IT, 4CIO 03/06/2010Model for Improvement and ROI in IT, 4CIO 03/06/2010
Model for Improvement and ROI in IT, 4CIO 03/06/2010
 
Model for-improvement-and-roi-in-it-4cio-030610
Model for-improvement-and-roi-in-it-4cio-030610Model for-improvement-and-roi-in-it-4cio-030610
Model for-improvement-and-roi-in-it-4cio-030610
 
Организационная Архитектура EA Enterprise Architecture
Организационная Архитектура EA Enterprise ArchitectureОрганизационная Архитектура EA Enterprise Architecture
Организационная Архитектура EA Enterprise Architecture
 
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
 
Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)
Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)
Enterprise Architecture - Sergey Orlik (Microsoft Platforma 2011)
 
К истокам преподавания процессного подхода
К истокам преподавания процессного подходаК истокам преподавания процессного подхода
К истокам преподавания процессного подхода
 
Презентация компании БИГ-СПБ и программного продукта ОРГ-Мастер
Презентация компании БИГ-СПБ и программного продукта ОРГ-МастерПрезентация компании БИГ-СПБ и программного продукта ОРГ-Мастер
Презентация компании БИГ-СПБ и программного продукта ОРГ-Мастер
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
 
Как выжить глобальной корпорации?
Как выжить глобальной корпорации?Как выжить глобальной корпорации?
Как выжить глобальной корпорации?
 
2013 12 design-design-environment
2013 12 design-design-environment2013 12 design-design-environment
2013 12 design-design-environment
 
Клуб Архитекторов 22.04.2010
Клуб Архитекторов 22.04.2010Клуб Архитекторов 22.04.2010
Клуб Архитекторов 22.04.2010
 
Моделирование корпоративной архитектуры
Моделирование корпоративной архитектурыМоделирование корпоративной архитектуры
Моделирование корпоративной архитектуры
 
Внедрение гибкой методологии управления проектами в Danske bank
Внедрение гибкой методологии управления проектами в Danske bankВнедрение гибкой методологии управления проектами в Danske bank
Внедрение гибкой методологии управления проектами в Danske bank
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр все про Cobit5 для dlp expert 2013-12

  • 1. Идеи и модели COBIT5 для специалистов по информационной безопасности Прозоров Андрей Ведущий эксперт по информационной безопасности BISA 12-2013
  • 2. Прозоров Андрей Ведущий эксперт по информационной безопасности InfoWatch, блог «Жизнь 80 на 20» http://80na20.blogspot.ru Твиттер: @3dwave 2
  • 3. Содержание 1. Как я пришел к COBIT5? Почему COBIT5? 2. COBIT5 Intro 3. Библиотека COBIT5 4. Принципы 5. Факторы влияния (enablers) и ИБ 6. Модель внедрения 7. Оценка возможностей процессов 8. Сертификация специалистов 3
  • 4. Как я пришел к COBIT5? • Комплексная ИБ • Важные процессы • PDCA (конфигурация, инциденты • Модель зрелости процессов • «Процессный подход» и проблемы, изменения…) • Связь ИТ и бизнеса ISO 27001 ITIL COBIT 4.1 BS 25999 NIST • Управление непрерывностью COBIT 5 • Детализированные меры ИБ • Много документов для разных задач ИБ 4
  • 5. Почему COBIT5? 1. Удачный набор документов, много рекомендаций (статьи и форумы). Удобная модель распространения документов (много бесплатных) 2. Очень много моделей, схем, таблиц и примеров. Много идей из других «лучших практик» (PMBOK, ITIL, ISO, NIST, ISACA…) 3. Ориентир на стейкхолдеров, +каскад целей 4. Удобное описание процессов (Purpose, Goals and Metrics, Inputs / Outputs, Process Practice and Activities, RACI Chart) 5. Удачная модель внедрения/совершенствования 6. Комплексный подход (факторы влияния – enablers) 7. Маппинг (ISO 27001/27002 (2005), NIST 800-53 A rev.1 5
  • 7. Введение Информация является критически важным ресурсом для всех предприятий. На всех этапах своего жизненного цикла информация критичным образом зависит от специализированных технологий. Предприятиям и их руководителям следует: • Поддерживать высокое качество информации для принятия управленческих решений • Создавать ценность для бизнеса, реализуя инвестиции, связанные с ИТ (достигать стратегических целей и получать выгоду путем эффективного и инновационного использования ИТ) • Совершенствовать операционную модель, надежно и рационально применяя технологии • Обеспечивать приемлемый уровень ИТ-рисков • Оптимизировать затраты на ИТ-услуги и технологии • Повышать степень соблюдения законов, норм, договорных обязательств и политик, связанных с применением ИТ 7
  • 8. А вот и COBIT5 COBIT 5 предлагает целостную методологию, которая призвана помочь в решении задачи руководства и управления ИТ на предприятии. COBIT 5 помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов. COBIT 5 Home - www.isaca.org/COBIT/Pages/default.aspx COBIT 5 FAQ - www.isaca.org/COBIT/Pages/FAQs.aspx COBIT 5 News - www.isaca.org/COBIT/Pages/News.aspx 8
  • 9. COBIT5 Framework • COBIT5: A Business Framework for the Governance and Management of Enterprise IT (94 стр. 05-2012) • Есть перевод на русский язык, COBIT 5: Бизнес-модель по руководству и управлению ИТ на предприятии (09-2013 bit.ly/194ez7O ) Кстати, COBIT - Control Objectives for Information and Related Technology (Задачи информационных и смежных технологий) 9
  • 10. История развития Evolution of scope Governance of Enterprise IT IT Governance Val IT 2.0 (2008) Management Control Risk IT (2009) Audit COBIT1 1996 COBIT2 1998 COBIT3 2000 COBIT4.0/4.1 2005/7 COBIT 5 2012 10
  • 12. 12
  • 13. Библиотека COBIT5 (для ИБ) COBIT 5 (Framework) COBIT 5 Enabler Guides Enabling Processes Enabling Information COBIT 5 Professional Guides Assessment Programme + for Assurance Implementation + for Information Security for Risk COBIT 5 Online Collaborative Environment http://www.isaca.org/COBIT/Pages/Product-Family.aspx 13
  • 14. Прочие документы с идеями COBIT5 • Securing Mobile Devices: Using COBIT 5 for Information Security • Vendor Management Using COBIT5 (+toolkit) • Configuration Management: Using COBIT5 • Transforming Cybersecurity: Using COBIT 5 • Responding to targeted cyberattacks • APT: How to manage the risk to your business 14
  • 15. COBIT5-Tool-Kit (Implementation) PowerPoint presentations: 01. Readme-With-Copyright-Disclaimer 02. COBIT5-Introduction - ppt 03. COBIT5-ExecSummary - ppt 04. COBIT5-Compare-With-4.1 - ppt 05. COBIT5-for-InfoSec - ppt 06. COBIT5-and-InfoSec-Spanish - ppt 07. COBIT5-and-GRC - ppt 08. COBIT5-for-Assurance - ppt 09. IT-BSC-Example - ppt 10. COBIT5-Key-Audience-MarketingMessages - doc Self-assessment, measurement and diagnostic tools: 11. COBIT5-Governance-and-ManagementPractices-Activities - xls 12. Management-Awareness-Diagnostic – xls Other: 13. Balanced-Scorecard-Case-Study – pdf 14. COBIT5-FAQs - pdf 15. COBIT5-Laminate - pdf 16. Where-Have-All-the-Control-ObjectivesGone - pdf 17. Overviews-ISACA-FWs-Gdnc-Intgrtd-inCOBIT5 - pdf bit.ly/1dtRP4k 15
  • 18. 1.Соответствие потребностям заинтересованных сторон (Meeting Stakeholder Needs) Предприятия существуют для того, чтобы создавать ценность для заинтересованных сторон (стейкхолдеры), путем поддержания баланса между получением выгоды и оптимизацией рисков и ресурсов. 18
  • 19. Каскад целей • Financial / Финансы • Customer / Заказчик • Internal / Внутр.управление • Learning and Growth / Обучение и развитие 17 (BSC) 17 Зачем? Для определения приоритетов развития, «выравнивание» целей бизнеса и ИТ/ИБ 19
  • 21. 2.Комплексный взгляд на предприятие (Covering the Enterprise End-to-end) COBIT 5 встраивает руководство предприятием в целом, то есть: • • ИТ в руководство Рассматривает все функции и процессы предприятия. COBIT 5 нацелен не только на реализацию «ИТ-функции», но рассматривает информацию и связанные с ней технологии как активы предприятия, которыми следует управлять, как и любыми другими активами. Исходит из того, что факторы влияния руководства и управления, связанные с ИТ, работают на всем предприятии и по всей цепочки создания ценности, и включают в себя все внутренние и внешние аспекты и роли, которые имеют отношение к руководству и управлению ИТ. 21
  • 22. 3.Применение единой интегрированной методологии 3. (Applying a Single Integrated Framework) В COBIT 5 реализовано соответствие основным стандартам и «лучшим практикам ISO 27001 / ISO 27002 (2005), ITIL V3, PMBOK и PRINCE2, NIST SP 800-53A Rev. 1, The ISF 2011, «старые» материалы ISACA (VAL IT, RISK IT, BMIS, COBIT 4.1), TOGAF… 22
  • 23. Методология COBIT 5 является единым и целостным подходом потому что: • Она соответствует новейшим стандартам и подходам, а, следовательно, предприятия могут использовать COBIT 5 в качестве интеграционной методологии для всех подходов к руководству и к управлению. • Она описывает предприятие целиком, предоставляя основу для эффективной интеграции других подходов, стандартов и практических приемов. Единый подход служит целостным источником рекомендаций, написанным технологически независимым, простым языком. • Она обладает простой архитектурой, позволяющей легко структурировать рекомендации в целостный набор публикаций. • Она объединяет знания, ранее размещенные в различных подходах ISACA. Исследуя различные области управления предприятием на протяжении многих лет, ассоциация ISACA разработала ряд подходов и рекомендаций в помощь предприятиям, таких как COBIT, Val IT, Risk IT, BMIS, Board Briefing on IT Governance и ITAF. Методология COBIT 5 интегрирует все эти знания. 23
  • 24. 24
  • 25. 4.Обеспечение целостного подхода (Enabling a Holistic Approach) Эффективное и рациональное руководство и управление ИТ на предприятии требует целостного подхода, с учетом многих взаимосвязанных компонентов. В COBIT 5 описан набор факторов влияния, которые обеспечивают внедрение системы руководства и управления ИТ на предприятии. Факторы влияния – это взаимосвязанные сущности, которые способствуют решению задач предприятия. 25
  • 28. 5.Разделение Руководства и Управления (Separating Governance From Management) Governance || Management 28
  • 29. Руководство обеспечивает уверенность в достижении целей предприятия путём: • сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; • установления направления развития через приоритизацию и принятие решений; • постоянного мониторинга соответствия фактической продуктивности и степени выполнения требований, установленным направлению и целям предприятия. Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия. 29
  • 30. Ключевые области руководства и управления Align, Plan and Organise Deliver, Service and Support Build, Acquire and Implement 30 Monitor, Evaluate and Assess
  • 32. COBIT 5 Факторы влияния (enablers) и информационная безопасность 32
  • 33. Книги про факторы влияния (enablers) • • • • COBIT5 COBIT5 for Information Security COBIT5 Enabling Processes COBIT5 Enabling Information 33
  • 34. Е1.Принципы, политики и подходы Support the business // Поддержка бизнеса • Focus on the business // Фокус на бизнес • Deliver quality and value to stakeholders // Предоставление качества и ценности для заинтересованных лиц • Comply with relevant legal and regulatory requirements // Соответствие требованиям регуляторов • Provide timely and accurate information on IS performance // Предоставление своевременнной и точной информации о состоянии ИБ • Evaluate current and future information threats // Оценка текущих и будущих угроз ИБ • Promote continuous improvement in IS // Постоянное совершенствование Defend the business // Защита бизнеса • Adopt a risk-based approach // Использование рискориентированного подхода • Protect classified information // Защита конфиденциальной информации • Concentrate on critical business applications // Концентрация на критичных для бизнеса системах • Develop systems securely // Разработка надежных систем Promote responsible IS behaviour // Поощрение ответственного поведения (ИБ) • Act in a professional and ethical manner // Ориентир на профессиональную этику • Foster an IS-positive culture // Способствование положительной культуры ИБ 34
  • 35. Примеры политик ИБ • Information security policy • Access control policy • Personnel information security policy • Physical and environmental information security policy • Incident management policy • Business continuity and disaster recovery policy • Asset management policy • Rules of behaviour (acceptable use) • Information systems acquisition, software development and maintenance policy • Vendor management policy • Communications and operation management policy • Compliance policy • Risk management policy 35
  • 37. Что в процессах? • Назначение и описание процесса • Цели и метрики процесса • Управляемые практики (входы и выходы) Например, APO13 Manage Security: • APO13.01 Establish and maintain an information security management system (ISMS) • APO13.02 Define and manage an information security risk treatment plan • APO13.03 Monitor and review the ISMS Например, DSS05 Manage Security Services: • • • • • • • DSS05.01 Protect against malware DSS05.02 Manage network and connectivity security DSS05.03 Manage endpoint security DSS05.04 Manage user identity and logical access DSS05.05 Manage physical access to IT assets DSS05.06 Manage sensitive documents and output devices DSS05.07 Monitor the infrastructure for security-related events • Активности (Рекомендации) • RACI-Chart 37
  • 38. R – Responsible A – Accountable C – Consulted I – Informed 38
  • 39. 39
  • 40. Е3.Организационные структуры. Роли • • • • • Chief information security officer (CISO) Information security steering committee (ISSC) Information security manager (ISM) Enterprise risk management (ERM) committee Information custodians/business owners • • • • • • • • • • • Board Chief Executive Officer Chief Financial Officer Chief Operating Officer Chief Risk Officer Head Human Resources Compliance Audit Business Continuity Manager Privacy Officer … 40
  • 41. E4.Культура, этика и поведение Культура ИБ 1. Сотрудники применяют подходы ИБ в повседневной деятельности 2. Сотрудники понимают важность политик и принципов ИБ 3. Сотрудники обеспечены необходимыми материалами и "лучшими практиками" по ИБ и приглашаются к участию при решении вопросов, связанных с ИБ 4. Каждый сотрудник несет ответственность за ИБ в компании 5. Заинтересованные стороны осведомлены о наличии угроз ИБ и определяют подход к реагированию на них 6. Руководство активно поддерживает развитие ИБ 7. Руководители подразделений обеспечивают эффективные коммуникации между отделами при решении задач ИБ 8. Высшее руководство признает ценность ИБ для бизнеса 41
  • 42. Лидерство Лидеры своим примером и словами показывают приверженность ценностям и принципам. Лидерами могут быть любые сотрудники, но особо важна поддержка: – Information security professionals – C-level executives: CEO, COO, CFO, CIO – Head of HR – Risk managers 42
  • 43. Лидерство может выражаться в следующих направлениях: • Повседневные коммуникации, определение и контроль правил (норм) • Использование систем стимулов и вознаграждений • Повышения осведомленности 43
  • 45. Примеры типов информации • • • • • Information security strategy Information security budget Information security plan Policies Information security requirements, which may include: – Information security configuration requirements – SLA/OLA information security requirements • Awareness material • Information security service catalogue • Information risk profile, which includes: – Information risk register – Breaches and loss reports (consolidated incident report) • Information security review reports, which include: – Information security audit findings – Information security maturity report – Information security-related risk management: • Threat analysis • Vulnerability (information security) assessment reports • Information security dashboard (or equivalent), which includes: – Information security incidents – Information security problems – Information security metrics 45
  • 47. Е6.Услуги, инфраструктура и приложения Security-related services (in a service catalogue): • Provide a security architecture • Provide security awareness • Provide secure development (development in line with security standards) • Provide security assessments • Provide adequately secured and configured systems, in line with security requirements and security architecture • Provide user access and access rights in line with usiness requirements • Provide adequate protection against malware, external attacks and intrusion attempts • Provide adequate incident response • Provide security testing • Provide monitoring and alert services for security-related events 47
  • 48. Е7.Люди, навыки и компетенции Компетенции в ИБ 1. Руководство ИБ (Governance) 2. Разработка стратегии ИБ 3. Управление рисками ИБ 4. Разработка архитектуры ИБ 5. Операционная деятельность в ИБ 6. Оценка, проверка и соответствие требованиям (compliance) COBIT5 рассматривает Опыт, Квалификацию (сертификаты), Знания и навыки
  • 49. Навыки по COBIT5 • • • • • • • • • • • • Лидерство Процессное мышление Системное мышление Стратегическое мышление Ориентация на задачи бизнеса Абстрактное мышление Ориентир на решение проблемы Аналитическое мышление, внимание к деталям Навыки управления проектами и персоналом Сильные навыки управления временем !!!См.связь с Этичное поведение компетенциями Хорошие навыки переговорщика, Сильные коммуникативные навыки, способность коммуницировать на всех уровнях организации
  • 52. Фазы жизненного цикла 1. What are the drivers? / Что нами движет? Определяются потребности внедрения или инициативы по совершенствованию, выявляются "болевые точки" и события-триггеры, которые запускают процесс. 2. Where are we now? / Где мы находимся сейчас? Определяется контекст и охват внедрения (scope), сопоставлются цели ИТ с целями бизнеса, оцениваются риски ИТ и уровень зрелости процессов. 3. Where do we want to be? / Где мы хотим оказаться? Определяются цели совершенствования. 4. What needs to be done? / Что нужно сделать? Производится планирование практических решений и инициация проектов. 5. How do we get there? / Как мы туда попадем? Происходит внедрение выбранных решений в повседневную практику. 6. Did we get there? / Удалось ли выполнить задуманное? Отслеживаются полученные выгоды и обеспечивается устойчивая работа новых или измененных факторов влияния. 7. How do we keep the momentum going? / Как сохранить импульс/развитие? Оценивается успех инициативы в целом, выявляются дальнейшие требования к руководству и управлению ИТ, а постоянному совершенствованию дается дополнительный импульс. 52
  • 53. COBIT5 Implementation • Примеры "болевых точек" и событий-триггеров, • Ожидания внутренних и внешних заинтересованных сторон • Детальное рассмотрение этапов/фаз: • • • • • Phase objective / Цель этапа Phase description / Описание этапа Continual improvement (CI) tasks / Задачи постоянного улучшения Change enablement (CE) tasks / Задачи по изменению Programme management (PM) tasks / Задачи по управлению программой • Input / Вход • ISACA materials and other frameworks / Дополнительные материалы • Output / Выход • Таблицы связи "вызовов" (challenges) с причинами и факторами успеха (root causes, success factors) • Таблицы основные ролей и RACI-chart 53
  • 55. Зрелость vs Возможности процессов COBIT 4.1 Maturity Model COBIT 5 Process Capability Model 55
  • 56. COBIT5 Process Capability Model (Книги) • COBIT5 (Framework) • COBIT Process Assessment Model (PAM): Using COBIT 5 – 144 стр. • COBIT Assessor Guide: Using COBIT 5 – 52 стр. • COBIT Self-Assessment Guide: Using COBIT 5 - 24 стр • + 2 exel-файла: "COBIT5-Assessment-Scoping-Tool" и "COBIT5-Self-assessment-Templates" 56
  • 57. COBIT 5 Process Capability Model 1 • Level 5: Optimising process (Оптимизированный) Предсказуемый процесс предыдущего уровня теперь постоянно совершенствуется, чтобы обеспечивать достижение текущих и будущих целей предприятия. • Level 4: Predictable process (Предсказуемый) Установленный процесс предыдущего уровня теперь получает результаты в условиях заданных ограничений. • Level 3: Established process (Установленный) Управляемый процесс предыдущего уровня теперь способен получать ожидаемые результаты. • Level 2: Managed process (Управляемый) Осуществлённый процесс предыдущего уровня теперь управляем (то есть планируется, отслеживается и корректируется). Создаются, контролируются и поддерживаются рабочие продукты процесса. • Level 1: Performed process (Осуществленный) Процесс внедрен и соответствует своему назначению. • Level 0: Incomplete process (Неполный) Такой процесс еще не внедрен или не способен соответствовать своему назначению.На этом уровне отсутствуют свидетельства систематического достижения процессом своих целей, или таких свидетельств мало. 57
  • 58. COBIT 5 Process Capability Model 2 58
  • 61. COBIT 5 Foundation Exam 1 • • • • • • On-line экзамен на английском языке 260$ 50 вопросов, выбор 1 из 4 надо ответить верно 25+ 40 минут Без книг 61
  • 62. COBIT 5 Foundation Exam 2 Темы: • The COBIT 5 Enablers • The COBIT 5 Principles • Process Capability Assessment Model • Introduction to COBIT 5 Implementation • Overview & Key Features of COBIT 5 (Расположены по кол-ву вопросов по убыванию) 62
  • 63. COBIT 5 Foundation Exam 3 • Примеры вопросов: http://bit.ly/1enwL02 • Все на 1 странице (выучить): https://t.co/50gfmC2hjV • Мой блог (посты про COBIT): http://80na20.blogspot.ru/search/ label/COBIT 63
  • 64. Все экзамены COBIT5 Exam Format Prerequisite COBIT 5 Foundation Exam COBIT 5 Implementation Exam COBIT 5 Assessor Exam None • Successful completion of the COBIT 5 Foundation Exam • Successful completion of the COBIT 5 Implementation Course • Successful completion of the COBIT 5 Foundation Exam • Successful completion of the COBIT 5 Assessor Course • Multiple Choice format • 50 questions per paper • 25 mark or more required to pass (out of 50 available) 50% • 40 minute duration • Closed book. • Objective testing • 4 questions per paper with 20 marks available per question • 40 marks or more required to pass (out of 80 available) 50% • 2 ½ hours duration • Open book (‘COBIT 5 Implementation’ book only). • Objective testing • 8 questions per paper with 10 marks available per question • 40 marks or more required to pass (out of 80 available) - 50% • 2 ½ hours duration • Open book (‘COBIT 5 Assessor Guide: Using COBIT 5’ and ‘COBIT Process Assessment Model (PAM): Using COBIT 5’ books only). 64
  • 65. 65
  • 66. А хотите еще вебинары по COBIT5? Пример тем: 1. Экзамен COBIT5 Foundation 2. Модель внедрения COBIT5 (implementation) 3. Подробнее про движущие силы (enablers) 4. Процессная модель COBIT5 5. Модель зрелости/возможности процессов 6. Подробнее про книги COBIT5 7. COBIT5 и ИБ (чуть «глубже») 8. … 66