Руководство для ИТ-специалистов по наиболее широко используемым инфраструктурам и стандартам ИТ
От регулируемых отраслей обычно требуется использовать одну или, возможно, несколько схем соответствия, которые обычно включают рамки и стандарты в их сфере бизнеса. (Фреймворки и стандарты часто путают. Мы уже упоминали об этом в предыдущей статье на TechGenix.) Некоторые из них относятся к конкретной отрасли, а другие — к более общему. Из-за большого количества методов, доступных для руководства и помощи, ИТ-специалистам может быть сложно найти то, что лучше всего подходит для нужд их компании. Рассмотрев некоторые из наиболее распространенных схем, вы можете сузить круг поиска и упростить процесс принятия решений.
Фреймворки имеют ценность
Следуя структуре, организация может использовать гибкую структуру, которая позволяет ей управлять стратегией, разрабатывать и документировать процессы, а также внедрять средства контроля для согласования ИТ и бизнеса, а также управления рисками и их снижения. В зависимости от того, чего организация хочет достичь, необходимы различные структуры и стандарты. Если динамика окружающей среды изменится с течением времени или возникнут другие проблемы, другие рамки и стандарты могут стать более важными, которые, возможно, не были актуальны раньше. Фреймворки имеют большую ценность. Они не только обеспечивают структуру. Они поощряют эффективность, обеспечивают способ измерения эффективности и позволяют совершенствоваться. Они дают организации возможность следовать контрольным спискам, расставлять приоритеты, определять основные обязанности, назначать задачи и двигаться к конечной цели, шаг за шагом — и все это контролируемым образом.
Фреймворки особенно важны в ИТ, поскольку они помогают надлежащим образом управлять сложными системами и средами. Структура, которую обеспечивают фреймворки, не только выгодна для ИТ, но и позволяет организациям эффективно адаптироваться к изменениям. Будь то изменения соответствия, изменения, вызванные законами и правилами, или бизнес-операциями. Это очень важно, особенно с учетом того, что регулирование безопасности информации в настоящее время является приоритетом для большинства отраслей, а по мере изменения динамики окружающей среды и развития технологий будут меняться и риски, и нормативные положения. Фреймворки могут помочь организациям справиться с этим.
Включение фреймворков
Для управления ИТ основной целью является установление прямого контроля в организации. В зависимости от уровня зрелости организации в ней уже могут быть предусмотрены некоторые средства контроля, но улучшения все же можно внести. Каждая структура имеет свои сильные и слабые стороны, но организация может использовать несколько сред и стандартов для достижения своей цели. По сути, ему необходимо знать свое нынешнее положение дел и то, где он хотел бы быть. Делая это, можно обнаружить слабые места и использовать структуры и стандарты, чтобы направить организацию туда, где она должна быть. Затем можно применить любые дополнительные элементы управления, необходимые для улучшения управления ИТ.
Универсально используемые фреймворки и стандарты
Огромное количество структур и стандартов применимы ко множеству отраслей и секторов. У каждого есть свое место и функция, будь то в отделе или целой отрасли. Сказав это, есть некоторые, которые используются повсеместно и определенно более распространены, чем другие. Ниже приведены несколько фреймворков/стандартов, которые выделяются во всем мире. Их можно разделить на категории: управление ИТ, управление и контроль, информационная безопасность и риски, а также предоставление услуг. Есть некоторые, которые имеют более конкретные требования и решают вопросы, связанные с отраслью.
Более общие для руководства, управления и контроля ИТ
COBIT, или контрольные задачи для информационных и смежных технологий, — это ведущая структура, используемая крупными предприятиями. Он имеет широкий размах. Это помогает организациям управлять информацией и своей инфраструктурой. Он предоставляет средства для преодоления связанных с этим сложностей за счет использования элементов управления, структур процессов, целей и руководств по управлению для согласования ИТ-целей с бизнес-целями.
Используя COBIT, организация может выявить критические проблемы и адаптировать методы для поддержки согласования бизнеса и ИТ. Он также напрямую соответствует, например, ITIL и серии стандартов ISO 27000.
Это добровольная структура, но она может принести пользу организации, помогая ей усилить защиту и тем самым снизить общий риск безопасности.
Национальный институт стандартов и технологий, NIST Framework, включает в себя множество стандартов и передовых методов информационной безопасности. Из-за его уровня зрелости и масштаба крупные предприятия используют его для улучшения критической инфраструктуры. Однако его можно легко адаптировать и для небольших предприятий. Поскольку NIST широко используется, это хороший способ убедить внешние стороны в том, как вы управляете своим бизнесом, поскольку вполне вероятно, что большинство из них, по крайней мере, знакомы с ним.
Эта структура является добровольной, если организация не обязана соблюдать ее по контракту, но преимущества, которые она предоставляет, велики, поскольку она способствует обеспечению безопасности данных и инфраструктуры с помощью простых в использовании руководств, передовых методов и стандартов, которые помогают улучшить кибербезопасность и управлять рисками кибербезопасности.
Две популярные платформы NIST Framework включают NIST Cybersecurity Framework (NIST CSF), помогающие повышать кибербезопасность и устойчивость в компаниях и на более широком уровне. Другим широко используемым является NIST Risk Management Framework (NIST RMF), он связан с настройками системного уровня. Он основан на стандарте NIST Special Publication 800-53. Некоторые организации (например, правительства) требуют, чтобы организации, с которыми они имеют дело, соблюдали этот стандарт.
Информационной безопасности
Серия 27000 Международной организации по стандартизации (ISO27000) для управления информационной безопасностью является одной из наиболее широко принятых во всем мире и имеет широкий охват. Он предлагает системный подход к управлению конфиденциальной информацией и охватывает риски, связанные с людьми, процессами и технологиями. Поскольку область применения очень обширна, в серии стандартов существуют различные способы обеспечения безопасности информационных активов. Некоторые из них могут быть более специфичными для отрасли или лучше подходить для определенных типов операций, однако в основном эти серии полезны во всех отраслях, независимо от их типа или размера.
Хотя преимущества, которые она дает, велики, путь к сертификации может быть довольно трудоемким, особенно для небольших предприятий. Поэтому сертификацию ISO часто проводят в основном крупные предприятия. Но небольшие организации, которые, возможно, не хотят идти по пути сертификации, все же могут принять многие из рекомендаций, поскольку это полезный способ начать структурирование структуры безопасности.
ISO 27001, вероятно, является наиболее распространенным из серии, которую часто называют основой семейства. Он формально определяет систему управления информационной безопасностью. Органы могут быть аккредитованы для сертификации организаций как соответствующих ISO 27001, если они отвечают требованиям стандарта и могут это продемонстрировать.
Стандарт определяет требования к аудиту систем управления информационной безопасностью (ISMS). Таким образом, используя соответствующие технологии, тестирование и аудит, обучение и повышение осведомленности людей, а также более совершенные процессы, организации могут лучше защитить свою информацию.
Предоставление услуг
Эта структура широко используется для управления ИТ-услугами во всем мире и включает в себя передовой международный опыт. Библиотека инфраструктуры информационных технологий (ITIL) призвана привести ИТ-услуги в соответствие с бизнес-целями посредством стратегии обслуживания, проектирования услуг, передачи услуг, эксплуатации услуг и улучшения услуг. Это создает основу для надежной структуры управления ИТ для поддержки требований и тонкостей информационной безопасности в постоянно меняющейся среде.
Он сочетает в себе современные технологии, программное обеспечение и инструменты. Он не является отраслевым и может быть адаптирован для любой организации.
ITIL не только помогает организации создать стабильную ИТ-инфраструктуру, обеспечивающую гибкость при изменении динамики среды, но также помогает в управлении рисками и улучшает отношения между клиентами.
Многие операционные ИТ-менеджеры клянутся его преимуществами и не могут обойтись без него!
Не такие общие
Ниже приведены некоторые отраслевые рамки/стандарты, которые могут потребовать более тщательного рассмотрения. Среди них есть добровольные и обязательные по закону. Внедрение одной или нескольких более общих платформ, упомянутых выше, также может помочь покрыть некоторые из этих требований, но не будет напрямую соответствовать всем требованиям, поэтому могут потребоваться дополнительные средства контроля для демонстрации соответствия этим более конкретным.
Глобальный стандарт безопасности данных платежных карт специально предназначен для управления хранением, передачей и обработкой данных о держателях карт, с которыми работают организации. Он направлен на защиту этой конфиденциальной информации, обеспечение использования организациями безопасных методов и сокращение мошенничества с картами.
Его администрируют сами поставщики карт. Это не требование закона, а скорее форма отраслевого самоуправления. Он помогает компаниям, которые обрабатывают любую информацию о картах, делать это безопасным образом, чтобы эти конфиденциальные данные всегда были защищены.
Важно отметить, что данные карты также являются личными данными, поэтому они будут регулироваться другими правовыми нормами, такими как GDPR, и другими правилами защиты данных во всем мире, которые применяются по закону.
Закон США о переносимости и подотчетности медицинского страхования (HIPAA) среди прочего устанавливает различные стандарты и требования к медицинским данным. Он включает правило безопасности HIPAA, которое касается специалистов по кибербезопасности и, в частности, ИТ. Любой, кто обрабатывает и хранит медицинскую информацию, должен соблюдать эти требования. Он применяется по закону и представляет собой систему соблюдения регулярных требований, поэтому, если вы обрабатываете данные о здоровье и используете для этого свою инфраструктуру, обязательно придерживайтесь методов защиты и обработки данных о состоянии здоровья в соответствии с HIPAA.
Общий регламент по защите данных (GDPR) является относительно новым (вступил в силу в 2018 г.) регламентом ЕС. Это нормативно-правовая база, и любой человек во всем мире, обрабатывающий личную информацию любого гражданина ЕС, должен соблюдать это положение о конфиденциальности данных. Рамки имеют широкую сферу применения и излагают требования регламента.
Другие фреймворки и стандарты, включая NIST, предлагают элементы управления на основе аналогичных требований, поэтому организации могут обнаружить, что другие фреймворки также могут поддерживать некоторые требования GDPR (например, требование об оценке воздействия на конфиденциальность) и могут сопоставить это с существующей фреймворком. они могут уже использовать, если у них есть подходящие.
Существуют сотни, это всего лишь несколько заметных
Существуют сотни фреймворков и стандартов. Структуры и стандарты, которые вы решите принять и интегрировать, в конечном итоге зависят от того, чего вы хотите достичь, а их успех зависит от способности организации поощрять изменения. Вы можете использовать несколько платформ для согласования бизнеса и ИТ, а также для достижения желаемых целей и соответствия нормативным требованиям, поскольку каждая из них может проявлять себя в разных областях. Фреймворки в основном обеспечивают гибкость для этого. Итак, если вы только начинаете путешествие, рассмотрите наиболее часто используемые. Между ними будет частичное совпадение, но как только вы настроите свой бизнес на подходящие рамки для ваших нужд, вам будет легче сопоставить с ним других, чтобы ваш бизнес мог извлечь выгоду из лучшего, что каждый из них предлагает.
Наконец, помните, что более общие не всегда могут покрывать все требования более конкретных. Будет некоторое дублирование, но вы не должны полагаться исключительно на те, которые соответствуют более отраслевым рамкам и стандартам, особенно тем, которые являются юридическими требованиями.