Бизнес-модель информационной безопасности

Бизнес

ISACA опубликовала достаточно интересный документ под названием «An Introduction to the Business Model for Information Security», который описывает бизнес-модель информационной безопасности. Всегда восхищался людьми, которые могут графически просто изобразить сложную задачу или процесс. Представленная ISACA (правда они сами ее позаимствовали) модель очень наглядно иллюстрирует различные аспекты ИБ в компании и ее связь с бизнесом.


Мы имеем всего 4 ключевых узла — организация, люди, процессы и технологии. Именно то, что и определяет ИБ в любой организации. Связи между ними, если посмотреть на картинку, это те «проблемы», о которых многие просто не думают или забывают — человеческий фактор, культура ИБ, архитектура ИБ, корпоративное управление ИБ и т.п.

Модель очень хорошая, но я бы все-таки ее улучшил и добавил бы к ней четыре замкнуто-циклических связи к каждому из основных узлов (ну или рассматривал бы эти темы внутри каждого узла). Для узла «люди» эту связь я бы назвал психология безопасности или психология отношения к рискам. Для узла «технологии» речь разумеется идет о развитии самих технологий ИБ. Для узла «организация» отдельно надо говорить о финансовой составляющей, т.к. мало понимать бизнес-цели предприятия, нужно еще и уметь говорить о безопасности на языке денег (NPB, IRR, PbP, пресловутый ROI и т.п.). Ну а для узла «процессы» обязательно надо не забыть про систему качества.

ЗЫ. Сам документ можно скачать с сайта ISACA.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Вряд ли стоит восхищаться картинкой…
    Такие картинки рисовать очень просто…
    берем 4-5 основных объектов (субъективно) основные связи (каждый с каждым) и свойства отношений (субъективно) по сути картинка ради картинки…
    Всетаки, если самолет красивый — не факт что полетит …
    Но один из способов представить свое субъективное мнение схемой «ниочем» встречается часто.

    Субъективность можно показать на примере…

    «есть некая фирама из 3х человек — директора, менеджера и программиста. И вот эта фирма работала над получением огромного гранда на разработку. И через пол года получила». Все работали по своим направлениям…НО

    Оказывается что нет никаких методов чтобы оценить чей вклад в цепь событий был решающим для достижения цели!!!

    Каждый сотрудник считает что именно его какой то шаг привел к получению гранда, может быть они даже поняли что каждый внес свой вклад… НО

    На самом деле гранд они получили совсем по другим причинам с их поступками никак не связанным !!!

    Примерно то же самое с ИБ — попробуйте предложить метод оценки — почему ваша контора НЕ пострадала из за вопросов ИБ ?

    Ответить
  2. Анонимный

    Примерно то же самое с ИБ — попробуйте предложить метод оценки — почему ваша контора НЕ пострадала из за вопросов ИБ ?

    При этом другой парадокс — для того чтобы получить фактические данные по вопросам ИБ — необходимо иметь не только средства ИЗ но и средства анализа и т.д и т.п.

    а если не появится фактов — то зачем вкладывали деньги ну и т.п.

    Вывод простой — чем дальше в лес — тем больше дров !!!

    Ответить
  3. Алексей Лукацкий

    Ничего не понял 😉

    Ответить
  4. Анонимный

    Ну.. эээ… как нибуть за бутылочкой виски… )))

    Ответить
  5. Алексей Лукацкий

    Плюс в этой картинке не в ее красоте, а в ее смысле 😉 Нечасто видишь картинки, в которых ИБ не концентрируется на технологиях, а учитывает гораздо более важные составляющие.

    Ответить
  6. Анонимный

    Картинка не впечатлила. Непонятно, для какой задачи она может быть полезна. Видеть перед глазами природу факторов риска?
    И где на схеме узел «ресурсы»?

    Ответить
  7. Алексей Лукацкий

    Для понимания ИБ во всем ее многообразии. Это же модель.

    Что касается ресурсов, то о каких идет речь? Людских? Есть в узле «people». Информационных? В узле «organization» или «technology».

    Ответить
  8. Анонимный

    Позволю себе не согласиться.
    Это не модель, а просто концепция. Моделью она была бы, если бы была понятна степень взаимосвязи узлов.
    Говоря о ресурсах — имел ввиду в первую очередь информационные ресурсы. Узел «technology» не может определять ценность активов, используемых людьми посредством технологий для реализации процессов.

    Ответить