Методичный кибербез: взгляд на ITIL и COBIT под призмой защиты информации

Методичный кибербез: взгляд на ITIL и COBIT под призмой защиты информации

ITIL и COBIT — две популярные методологии в области управления информационными технологиями. Каждая по-своему, они обеспечивают комплексный подход к управлению ИТ-услугами, служат для оптимизации и увеличения эффективности цифровых бизнес-процессов. Реже их рассматривают как ключ к повышению киберустойчивости бизнеса. Об этой тонкой грани — в материале IT-World.

ITIL и COBIT широкими мазками

Без использования методологий в ИТ-сфере, вероятно, царил бы хаос. Такие основательные подходы, как ITIL и COBIT, взяли на себя важную роль в обеспечении эффективной работы ИТ-процессов, стабильности и надежности информационных систем. Они позволяют стандартизировать и оптимизировать процессы управления ИТ-системами, предлагают лучшие модели, практики и процессы для прозрачности и эффективного ведения бизнеса.

ITIL (Information Technology Infrastructure Library, библиотека инфраструктуры информационных технологий) — набор практик в области управления ИТ, который помогает организациям достичь эффективного управления своей инфраструктурой. Методология ITIL была разработана Центральным агентством компьютерных услуг CCTA в 1980-х годах в Великобритании. Еще через 30 лет ее упростили, расширив ареал применения на коммерческие компании (ранее использовалась только в государственном контуре).

Основная цель ITIL — повышение качества предоставляемых цифровых услуг при оптимальных издержках, а также улучшение коммуникации между ИТ-отделом и бизнес-подразделениями. Методология ITIL может применяться в широком спектре организаций, независимо от их размера или отрасли.

COBIT (Control Objectives for Information and Related Technologies, цели управления для информационных и смежных технологий) — методология управления и контроля ИТ. Она была разработана в 1996 году международной профессиональной ассоциацией ISACA (Information Systems Audit and Control Association), специализирующейся на ИТ-аудите и менеджменте, а также информационной безопасности. Ее главная задача — помочь компаниям эффективно управлять рисками, обеспечивать соответствие нормативным требованиям, повышать качество услуг и оптимизировать использование информационных ресурсов.

ITIL vs COBIT: различие и взаимное дополнение

ITIL имеет более структурированный подход к управлению услугами и широкий охват, включая управление жизненным циклом ИТ-сервисов, в то время как COBIT сосредоточен на управлении ИТ-процессами и операциями. ITIL часто используется в сочетании с другими методологиями, такими как Lean Six Sigma, для повышения эффективности процессов, а COBIT может быть интегрирован с другими методами управления рисками, в том числе ISO 27001, для обеспечения безопасности и соответствия стандартам.

Построение и развитие ИТ-архитектуры организации

У методологий разные цели и фокусы, что при их комбинации поможет избавиться от большинства проблем бизнеса. ITIL сосредоточена на управлении ИТ-ресурсами, а COBIT ориентирована на управление процессами в связке с выявлением рисков и контролем над ИТ-операциями. Отсюда и различные области применения: ITIL служит для управления ИТ-сервисами, а COBIT — для управления технологическими процессами как ИТ в целом, так и по отдельных направлениям, включая киберзащиту.

Различие двух подходов может служить иллюстрацией латентного конфликта интересов между ИТ- и ИБ-подразделениями: одно ориентировано на максимальную продуктивность ИТ-ресурсов, другое — на тотальное обеспечение защиты информации, ради которой при необходимости вводятся дополнительные действия, процессы и настройки систем, даже если это требует некоторого снижения продуктивности. При этом оба лагеря аргументируют свою позицию бизнес-целями. ИТ-служба стремится выжимать максимум, чтобы успешно конкурировать на рынке. А ИБ-директор и его команда — устранять цифровые риски и обеспечивать непрерывность бизнес-процессов.

Формула киберустойчивости CyberYool: лучшее из методологий ITIL и COBIT

Innostage нашла возможность привести ИТ- и ИБ-цели к общему знаменателю, а заодно объединить преимущества ITIL и COBIT. Так появилась методология киберустойчивости Innostage CyberYool, где отдельными ветками предусмотрены ИТ- и ИБ-процессы, а также действия, которые должны совершаться этими подразделениями совместно.

В этой методологии пять последовательных шагов.

Первый этап — обследование ИТ- и ИБ-инфраструктуры, анализ особенностей и рисков бизнеса. В COBIT уже определен метод оценки уровня зрелости, базирующийся на подходе CMMi, набор стандартов и руководящих принципов для управления ИТ и информационной безопасностью, применимые в рамках этапа. А с опорой на принципы ITIL можно структурировать и дополнить предложенные процедуры, а также выработать стратегии по управлению изменениями.

Миграция на отечественные ITSM-системы

Второй этап — создание прототипов целевой конфигурации архитектуры ИБ- и ИТ-инфраструктуры и ее сегментов. В обе методологии заложены рекомендации по проектированию и внедрению ИТ-услуг, что может быть полезно при создании дизайн-проектов ИТ-архитектуры. В частности, ITIL предлагает принципы, стандарты и инструменты, которые позволяют организации управлять сложными архитектурными изменениями структурированным и гибким образом. COBIT определяет рекомендации, как наилучшим образом построить и структурировать ИТ, управлять его производительностью, выполнять рациональные и эффективные операции в ИТ, контролировать расходы.

Третий этап методологии Innostage CyberYool — трансформация процессов ИТ и ИБ и внедрения защитных мер. Здесь ITIL предлагает рекомендации по улучшению процессов и выстраиванию модели эффективного управления трансформационными действиями. В свою очередь, в COBIT помогает определить слабые места в текущих процессах ИБ, предложить готовые практики, ориентированные на управление информационной безопасностью и перестройку целевых процессов.

Четвертый этап — подготовка и обучение сотрудников при помощи менторов, образовательных платформ и в тренировочных центрах. ITIL и COBIT могут использоваться для организации регулярного обучения, поддержки и улучшения эффективного и удобного использования информации и знаний в организации.

Пятый этап методологии CyberYool — независимая оценка уровня киберустойчивости при помощи пентестов или Red Team Assessment, программы bug bounty или открытых кибериспытаний. Этап цикличный: выявленные недостатки снова перекидываются на уровень обследования и трансформации. Подход ITIL может быть полезен для организации процесса постоянного выявления и совершенствования услуг, компонентов услуг и практик, направленных на обеспечение киберустойчивости. А COBIT основное внимание уделяет мониторингу достижения улучшений с использованием показателей производительности и ожидаемых выгод.

Заключение

Методологии, пусть даже построенные на лучших мировых ИТ-практиках, не всегда идеально подходят под актуальные практические задачи и вызовы. В то же время они служат отличным фундаментом, на котором можно построить или собрать другие фреймворки и методологии. Так, методология CyberYool включает лучшие практики ITIL и COBIT, что доказывает ее эффективность и результативность. В перспективе она способна стать национальным отраслевым стандартом в сфере кибербезопасности.

Комментарии
Вам может быть интересно
Что такое и зачем нужно облако ФЗ-152. Специалисты компании DST Global расскажут какие нюансы законодательства необходимо удовлетворять, какие риски несет несоблюдение требований об обработке персонал...
Шифрование хранящихся данных имеет жизненно важное значение для кибербезопасност...
Россия больше не входит в группу стран с наивысшим...
В эпоху цифровой трансформации информация становит...
Вероятно, вы знакомы с термином «критические актив...
Количество преступлений в области информационных ...
Перейти вверх