Всем привет, и надеюсь, что читателям еще не надоела тема услуг ИБ:) Немножко вспомним прошлое - 2 недели назад я дал ключевые определения, а неделю назад смотрел какие таксономии услуг ИБ есть в мире.
И повторюсь, оказалось, что все услуги будут т.н. "вмененными" или "управленческими" - т.е. источником покрытия средств будет бюджет подразделения ИБ (но за услуги такого рода в компаниях с развитым управленческим учетом в итоге все равно заплатят бизнес-подразделения, как минимум на них эти затраты будут аллокированы).
Итак, приступим к анализу описания ИБ-услуг в ITIL v3 2011. Что же нам говорит ITIL об услугах в принципе? А вот что - услуга состоит из следующих компонентов:
Однако, разве Совет директоров будет заниматься ИБ настолько глубоко что бы получились более-менее четко сформулированные требования?... Ну ладно, хотя бы правление (без выделенного специалиста по ИБ под началом)? И кто из топ-менеджмента рискнет поставить подпись, например, на политике ИБ разработанной от начала до конца внешним консультантом ничего в ней не понимая?.. Получается, что описанная в библиотеке схема в случае ее применения на 100% нежизнеспособна. Поэтому, посмотрим как еще мы можем описать безопасность используя подход библиотеки.
Итак, раз уж мы уже посмотрели как безопасность вписана в Гарантию, прикинем как мы ее можем вписать в Полезность.
В следующий раз сравним оба подхода - "процессно-ориентированный" и "бизнес-ориентированный" для маркетинга ИБ.
И повторюсь, оказалось, что все услуги будут т.н. "вмененными" или "управленческими" - т.е. источником покрытия средств будет бюджет подразделения ИБ (но за услуги такого рода в компаниях с развитым управленческим учетом в итоге все равно заплатят бизнес-подразделения, как минимум на них эти затраты будут аллокированы).
Итак, приступим к анализу описания ИБ-услуг в ITIL v3 2011. Что же нам говорит ITIL об услугах в принципе? А вот что - услуга состоит из следующих компонентов:
- полезность (функциональность или что делает услуга?) - соответствие назначению услуги (способность услуги обеспечивать некий уровень производительности бизнес-процессов либо убирать какие-то ограничения);
- гарантия (качество или как предоставляется услуга?) - соответствие требованиям (уверенность в том, что услуга будет соответствовать требованиям заказчика), а именно обеспечение оговоренного уровня доступности, непрерывности, мощности и безопасности.
Однако, разве Совет директоров будет заниматься ИБ настолько глубоко что бы получились более-менее четко сформулированные требования?... Ну ладно, хотя бы правление (без выделенного специалиста по ИБ под началом)? И кто из топ-менеджмента рискнет поставить подпись, например, на политике ИБ разработанной от начала до конца внешним консультантом ничего в ней не понимая?.. Получается, что описанная в библиотеке схема в случае ее применения на 100% нежизнеспособна. Поэтому, посмотрим как еще мы можем описать безопасность используя подход библиотеки.
Итак, раз уж мы уже посмотрели как безопасность вписана в Гарантию, прикинем как мы ее можем вписать в Полезность.
- Поддержка некоего уровня производительности бизнес-процесса - может ли безопасность помочь в этом вопросе? Безусловно, например, внедрив и поддерживая узел доступа в Интернет. Менеджмент сможет управлять потерями рабочего времени из-за Интернет. Вообще, поддерживать производительность возможно ведь не только устраняя издержки (как учит нас популярный подход lean), но и повышая издержки для отвлекающих факторов, например, того же Интернет;
- Устранение ограничений - например, законодательных. Может ли безопасность помочь? Может, да и уже помогает, например, обеспечивая соответствие PCI DDS, ФЗ-152, SOX..
В следующий раз сравним оба подхода - "процессно-ориентированный" и "бизнес-ориентированный" для маркетинга ИБ.
Комментариев нет:
Отправить комментарий