Методичный кибербез: взгляд на ITIL и COBIT под призмой защиты информации
Изображение создано нейросетью на freepik.com
ITIL и COBIT широкими мазками
Без использования методологий в ИТ-сфере, вероятно, царил бы хаос. Такие основательные подходы, как ITIL и COBIT, взяли на себя важную роль в обеспечении эффективной работы ИТ-процессов, стабильности и надежности информационных систем. Они позволяют стандартизировать и оптимизировать процессы управления ИТ-системами, предлагают лучшие модели, практики и процессы для прозрачности и эффективного ведения бизнеса.
ITIL (Information Technology Infrastructure Library, библиотека инфраструктуры информационных технологий) — набор практик в области управления ИТ, который помогает организациям достичь эффективного управления своей инфраструктурой. Методология ITIL была разработана Центральным агентством компьютерных услуг CCTA в 1980-х годах в Великобритании. Еще через 30 лет ее упростили, расширив ареал применения на коммерческие компании (ранее использовалась только в государственном контуре).
Основная цель ITIL — повышение качества предоставляемых цифровых услуг при оптимальных издержках, а также улучшение коммуникации между ИТ-отделом и бизнес-подразделениями. Методология ITIL может применяться в широком спектре организаций, независимо от их размера или отрасли.
COBIT (Control Objectives for Information and Related Technologies, цели управления для информационных и смежных технологий) — методология управления и контроля ИТ. Она была разработана в 1996 году международной профессиональной ассоциацией ISACA (Information Systems Audit and Control Association), специализирующейся на ИТ-аудите и менеджменте, а также информационной безопасности. Ее главная задача — помочь компаниям эффективно управлять рисками, обеспечивать соответствие нормативным требованиям, повышать качество услуг и оптимизировать использование информационных ресурсов.
ITIL vs COBIT: различие и взаимное дополнение
ITIL имеет более структурированный подход к управлению услугами и широкий охват, включая управление жизненным циклом ИТ-сервисов, в то время как COBIT сосредоточен на управлении ИТ-процессами и операциями. ITIL часто используется в сочетании с другими методологиями, такими как Lean Six Sigma, для повышения эффективности процессов, а COBIT может быть интегрирован с другими методами управления рисками, в том числе ISO 27001, для обеспечения безопасности и соответствия стандартам.
У методологий разные цели и фокусы, что при их комбинации поможет избавиться от большинства проблем бизнеса. ITIL сосредоточена на управлении ИТ-ресурсами, а COBIT ориентирована на управление процессами в связке с выявлением рисков и контролем над ИТ-операциями. Отсюда и различные области применения: ITIL служит для управления ИТ-сервисами, а COBIT — для управления технологическими процессами как ИТ в целом, так и по отдельных направлениям, включая киберзащиту.
Различие двух подходов может служить иллюстрацией латентного конфликта интересов между ИТ- и ИБ-подразделениями: одно ориентировано на максимальную продуктивность ИТ-ресурсов, другое — на тотальное обеспечение защиты информации, ради которой при необходимости вводятся дополнительные действия, процессы и настройки систем, даже если это требует некоторого снижения продуктивности. При этом оба лагеря аргументируют свою позицию бизнес-целями. ИТ-служба стремится выжимать максимум, чтобы успешно конкурировать на рынке. А ИБ-директор и его команда — устранять цифровые риски и обеспечивать непрерывность бизнес-процессов.
Формула киберустойчивости CyberYool: лучшее из методологий ITIL и COBIT
Innostage нашла возможность привести ИТ- и ИБ-цели к общему знаменателю, а заодно объединить преимущества ITIL и COBIT. Так появилась методология киберустойчивости Innostage CyberYool, где отдельными ветками предусмотрены ИТ- и ИБ-процессы, а также действия, которые должны совершаться этими подразделениями совместно.
В этой методологии пять последовательных шагов.
Первый этап — обследование ИТ- и ИБ-инфраструктуры, анализ особенностей и рисков бизнеса. В COBIT уже определен метод оценки уровня зрелости, базирующийся на подходе CMMi, набор стандартов и руководящих принципов для управления ИТ и информационной безопасностью, применимые в рамках этапа. А с опорой на принципы ITIL можно структурировать и дополнить предложенные процедуры, а также выработать стратегии по управлению изменениями.
Второй этап — создание прототипов целевой конфигурации архитектуры ИБ- и ИТ-инфраструктуры и ее сегментов. В обе методологии заложены рекомендации по проектированию и внедрению ИТ-услуг, что может быть полезно при создании дизайн-проектов ИТ-архитектуры. В частности, ITIL предлагает принципы, стандарты и инструменты, которые позволяют организации управлять сложными архитектурными изменениями структурированным и гибким образом. COBIT определяет рекомендации, как наилучшим образом построить и структурировать ИТ, управлять его производительностью, выполнять рациональные и эффективные операции в ИТ, контролировать расходы.
Третий этап методологии Innostage CyberYool — трансформация процессов ИТ и ИБ и внедрения защитных мер. Здесь ITIL предлагает рекомендации по улучшению процессов и выстраиванию модели эффективного управления трансформационными действиями. В свою очередь, в COBIT помогает определить слабые места в текущих процессах ИБ, предложить готовые практики, ориентированные на управление информационной безопасностью и перестройку целевых процессов.
Четвертый этап — подготовка и обучение сотрудников при помощи менторов, образовательных платформ и в тренировочных центрах. ITIL и COBIT могут использоваться для организации регулярного обучения, поддержки и улучшения эффективного и удобного использования информации и знаний в организации.
Пятый этап методологии CyberYool — независимая оценка уровня киберустойчивости при помощи пентестов или Red Team Assessment, программы bug bounty или открытых кибериспытаний. Этап цикличный: выявленные недостатки снова перекидываются на уровень обследования и трансформации. Подход ITIL может быть полезен для организации процесса постоянного выявления и совершенствования услуг, компонентов услуг и практик, направленных на обеспечение киберустойчивости. А COBIT основное внимание уделяет мониторингу достижения улучшений с использованием показателей производительности и ожидаемых выгод.
Заключение
Методологии, пусть даже построенные на лучших мировых ИТ-практиках, не всегда идеально подходят под актуальные практические задачи и вызовы. В то же время они служат отличным фундаментом, на котором можно построить или собрать другие фреймворки и методологии. Так, методология CyberYool включает лучшие практики ITIL и COBIT, что доказывает ее эффективность и результативность. В перспективе она способна стать национальным отраслевым стандартом в сфере кибербезопасности.
Опубликовано 20.09.2024
