ISACA опубликовала достаточно интересный документ под названием «An Introduction to the Business Model for Information Security», который описывает бизнес-модель информационной безопасности. Всегда восхищался людьми, которые могут графически просто изобразить сложную задачу или процесс. Представленная ISACA (правда они сами ее позаимствовали) модель очень наглядно иллюстрирует различные аспекты ИБ в компании и ее связь с бизнесом.
Мы имеем всего 4 ключевых узла — организация, люди, процессы и технологии. Именно то, что и определяет ИБ в любой организации. Связи между ними, если посмотреть на картинку, это те «проблемы», о которых многие просто не думают или забывают — человеческий фактор, культура ИБ, архитектура ИБ, корпоративное управление ИБ и т.п.
Модель очень хорошая, но я бы все-таки ее улучшил и добавил бы к ней четыре замкнуто-циклических связи к каждому из основных узлов (ну или рассматривал бы эти темы внутри каждого узла). Для узла «люди» эту связь я бы назвал психология безопасности или психология отношения к рискам. Для узла «технологии» речь разумеется идет о развитии самих технологий ИБ. Для узла «организация» отдельно надо говорить о финансовой составляющей, т.к. мало понимать бизнес-цели предприятия, нужно еще и уметь говорить о безопасности на языке денег (NPB, IRR, PbP, пресловутый ROI и т.п.). Ну а для узла «процессы» обязательно надо не забыть про систему качества.
ЗЫ. Сам документ можно скачать с сайта ISACA.
Вряд ли стоит восхищаться картинкой…
Такие картинки рисовать очень просто…
берем 4-5 основных объектов (субъективно) основные связи (каждый с каждым) и свойства отношений (субъективно) по сути картинка ради картинки…
Всетаки, если самолет красивый — не факт что полетит …
Но один из способов представить свое субъективное мнение схемой «ниочем» встречается часто.
Субъективность можно показать на примере…
«есть некая фирама из 3х человек — директора, менеджера и программиста. И вот эта фирма работала над получением огромного гранда на разработку. И через пол года получила». Все работали по своим направлениям…НО
Оказывается что нет никаких методов чтобы оценить чей вклад в цепь событий был решающим для достижения цели!!!
Каждый сотрудник считает что именно его какой то шаг привел к получению гранда, может быть они даже поняли что каждый внес свой вклад… НО
На самом деле гранд они получили совсем по другим причинам с их поступками никак не связанным !!!
Примерно то же самое с ИБ — попробуйте предложить метод оценки — почему ваша контора НЕ пострадала из за вопросов ИБ ?
Примерно то же самое с ИБ — попробуйте предложить метод оценки — почему ваша контора НЕ пострадала из за вопросов ИБ ?
При этом другой парадокс — для того чтобы получить фактические данные по вопросам ИБ — необходимо иметь не только средства ИЗ но и средства анализа и т.д и т.п.
а если не появится фактов — то зачем вкладывали деньги ну и т.п.
Вывод простой — чем дальше в лес — тем больше дров !!!
Ничего не понял 😉
Ну.. эээ… как нибуть за бутылочкой виски… )))
Плюс в этой картинке не в ее красоте, а в ее смысле 😉 Нечасто видишь картинки, в которых ИБ не концентрируется на технологиях, а учитывает гораздо более важные составляющие.
Картинка не впечатлила. Непонятно, для какой задачи она может быть полезна. Видеть перед глазами природу факторов риска?
И где на схеме узел «ресурсы»?
Для понимания ИБ во всем ее многообразии. Это же модель.
Что касается ресурсов, то о каких идет речь? Людских? Есть в узле «people». Информационных? В узле «organization» или «technology».
Позволю себе не согласиться.
Это не модель, а просто концепция. Моделью она была бы, если бы была понятна степень взаимосвязи узлов.
Говоря о ресурсах — имел ввиду в первую очередь информационные ресурсы. Узел «technology» не может определять ценность активов, используемых людьми посредством технологий для реализации процессов.