Портал №1 по управлению цифровыми
и информационными технологиями

Узнать о RESILIA за 3 минуты

4638-541x850Для тех, кто стремится быть в курсе известных стандартов, методологий и сборников лучших практик, но не имеет достаточно времени, компания Van Haren Publishing регулярно публикует краткие трёхминутные обзоры, благодаря которым можно познакомиться с основными идеями. На прошлой неделе вышло описание нового набора лучших практик в области информационной безопасности – RESILIA™ Cyber Resilience Best Practices.  Редакция портала RealITSM подготовила для вас перевод данного обзора, ознакомиться с оригинальной версией можно на сайте Van Haren Publishing.

Общие сведения

RESILIA входит в портфель лучших практик компании AXELOS наряду с ITIL и PRINCE2. Публикация описывает системный подход к управлению информационной безопасностью и спроектирована с учетом взаимодействия с ITIL и другими управленческими подходами. Таким образом, деятельность по улучшению «кибер-устойчивости» должна стать частью деятельности организации, а не отдельной практикой.

Краткое описание

RESILIA подчеркивает необходимость соблюдения баланса информационной безопасности, особенно в части следующих областей:

  • Защита, обнаружение и исправление. Сколько бы вы ни вкладывали в защиту информации, этого не достаточно, необходимо также инвестировать в скорейшее обнаружение инцидентов безопасности и их устранение с минимальным влиянием на бизнес.  
  • Люди, процессы и технологии. Большинство экспертов и публикаций уделяют большое внимание техническим решениям, но управление информационной безопасностью не только и не столько про технологии, сколько про процессы и людей.
  • Риски и возможности. Чем сильнее контроль безопасности, тем сложнее для бизнеса извлекать выгоду из новых возможностей. Кроме того, слишком строгий контроль может побуждать людей искать обходные пути, что приводит к повышению рисков.

В основу RESILIA положен жизненный цикл, аналогичный ITIL, который включает пять этапов:

  • Стратегия (Cyber resilience strategy) – понимание назначения данной деятельности в организации, обеспечение наличия ресурсов и способностей, утверждение политик и руководства, управление аудитом и обеспечение соответствия.
  • Проектирование (Cyber resilience design) – разработка всего, что требуется для приведения стратегии в исполнение, включая систему управления и контроли безопасности активов.
  • Преобразование (Cyber resilience transition) – передача того, что получилось на стадии проектирования  в эксплуатацию, обеспечение управления рисками и соответствия новых и изменённых процессов и контролей ожидаемым результатам.
  • Эксплуатация (Cyber resilience operation) – управление информационной безопасностью на регулярной основе, включает в себя управление событиями, инцидентами, проблемами и правами доступа, а также управление технологиями.
  • Непрерывное улучшение (Cyber resilience continual improvement) – обеспечение того, что данная деятельность продолжает быть эффективной в условиях появления новых угроз, изменения технологий и бизнес-среды.

Целевая аудитория

  • Менеджеры, ответственные за персонал и процессы, где требуются практики информационной безопасности
  • Команды управления ИТ-услугами, команды разработки и команды ИБ, которые используют данные, управляют и поддерживают системы, критичные для бизнеса
  • Архитекторы и разработчики ИТ, которые проектируют информационные системы и контроли безопасности
  • Высшее руководство, ответственное за информационную безопасность, включая ИТ-директоров и Директоров по ИБ (CISO)

Область применения и ограничения

Публикация описывает необходимость целостной системы управления, охватывающей не только информационную безопасность, но и управление ИТ-услугами, управление качеством, управление рисками и другие аспекты. Она использует подход к управлению рисками на основе активов, но может работать с любым из известных подходов, используемых в организации.

Каждая глава RESILIA содержит перечень контролей безопасности по стадиям жизненного цикла и пояснения, как данные контроли взаимодействуют с ITSM-процессами, связанными с каждой стадией.

Кроме того, в каждой главе на примере трёх вымышленных организаций описано применение практик информационной безопасности в различных контекстах.

Ознакомиться с RESILIA подробнее, а также приобрести её можно на сайте AXELOS.


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM