четверг, 16 апреля 2015 г.

Категоризация/классификация продуктов/решений/услуг по информационной безопасности

Сталкиваясь с вопросом категоризации или классификации решений по информационной безопасности возникает вопрос, как это сделать правильнее. Наиболее часто я встречаю универсальные варианты категоризации по разрезам:
  • Линейки продуктов
  • Решения
  • Темы
  • Бизнес-задачи (в т.ч. compliance)
  • Отрасли
  • Услуги
    • Стадии
      • аудит, обследование, расследование
      • проектирование, внедрение (тут связка с продуктами)
      • аттестация
      • поддержка, аутсорсинг
    • Соответствие (услуги по приведению в соответствие разным СТО БР, PCI DSS, ФЗ152 и т.д.)
Эти разрезы четко прослеживаются у ведущих производителей:




У интеграторов к продуктовой части добавляется более подробный перечень по услугам.
Несмотря на то, что в целом уже сложилась практика формирования портфеля по ИБ, тем не менее появляются новые темы, меняются приоритеты у рынка, подходы к реализации проектов и поэтому каждая компания переделывает категоризацию под текущее видение.
Я еще давно писал про ресурсы, на которых консолидированы ИБэшные продукты. Один из них наш отечественный http://ismmarket.ru/, не плохо продуман, с точки зрения категоризации продуктов, однако, отсутствие принятых стандартов по категоризации в отрасли мешает сформировать единую базу поставщиков услуг.
В одной из презентаций Алексей Лукацкий использовал таксономию от IDC, которая очень хорошо категоризирует средства защиты, но это, на мой взгляд, в большей степени полезно для "внутреннего" упорядочивания портфеля:
И по ИБ-сервисам от IDC:



Если говорить про аудиты, то интересная таксономия представлена в документе A Taxonomy of Information Systems Audits,Assessments and Reviews:



Еще один интересный вариант категоризации по всей ИБ представлен институтом INTECO:

В общем вариантов представления портфеля по ИБ достаточно много, самое главное какие цели мы преследуем и кому хотим его презентовать.
Если с продуктами все более или менее понятно, то, на мой взгляд, много путанницы в услугах по информационной безопасности. Рынок зачастую одни и те же услуги называет по разному, либо, наоборот, под одним названием может иметь ввиду совершенно разные услуги. Стандартизация услуг по ИБ позволила бы обеим сторонам говорить на одном языке, на мой взгляд это могло быть следующим шагом в развитии ИБ в России.

Secure your life!