![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
bga68comp У сфері інформаційної безпеки та кібербезпеки «методологія» і «стандарт» мають різну природу і структуру.
P.s. Вибачте, СУШІ — це система управління штучним інтелектом
1️⃣ Методологія (framework, guidance, conceptual model)
Методологія = це опис підходу та процесів, які треба виконати, але без формальних вимог.
У сфері ІБ (наприклад, NIST Cybersecurity Framework, NIST AI RMF, ISO/IEC 31000) типовими є такі розділи:
- Вступ / передмова
- Для чого створена методологія, коло застосування.
- Для чого створена методологія, коло застосування.
- Терміни та визначення
- Щоб уникнути двозначностей (напр. «ризик», «загроза», «вразливість»).
- Щоб уникнути двозначностей (напр. «ризик», «загроза», «вразливість»).
- Принципи / основи
- Ключові ідеї (наприклад, risk-based approach, continuous improvement, human oversight).
- Ключові ідеї (наприклад, risk-based approach, continuous improvement, human oversight).
- Модель / структура (core functions)
- Наприклад, у NIST CSF — Identify, Protect, Detect, Respond, Recover.
- У NIST AI RMF — Govern, Map, Measure, Manage.
- Наприклад, у NIST CSF — Identify, Protect, Detect, Respond, Recover.
- Практичні орієнтири
- Рекомендації, best practices, приклади застосування.
- Рекомендації, best practices, приклади застосування.
- Профілі / сценарії використання
- Як застосовувати методологію у конкретному секторі (фінанси, медицина, уряд).
- Як застосовувати методологію у конкретному секторі (фінанси, медицина, уряд).
2️⃣ Стандарт (management system standard, certifiable standard)
Стандарт = це нормативний документ з вимогами, за яким можна пройти аудит/сертифікацію.
Приклади: ISO/IEC 27001:2022, ISO/IEC 42001:2023.
- Сфера застосування (Scope)
- Чітко: до яких систем/організацій застосовується.
- Чітко: до яких систем/організацій застосовується.
- Нормативні посилання
- Які інші стандарти є обов’язковими складовими (наприклад, ISO/IEC 27000 для термінів).
- Які інші стандарти є обов’язковими складовими (наприклад, ISO/IEC 27000 для термінів).
- Терміни та визначення
- Офіційний словник, без якого немає правильного застосування.
- Офіційний словник, без якого немає правильного застосування.
- Контекст організації
- Вимога визначити зовнішні та внутрішні фактори, зацікавлені сторони, обсяг СУІБ / СУШІ 😂.
- Вимога визначити зовнішні та внутрішні фактори, зацікавлені сторони, обсяг СУІБ / СУШІ 😂.
- Лідерство (Leadership)
- Ролі, відповідальність, політика безпеки, зобов’язання керівництва.
- Ролі, відповідальність, політика безпеки, зобов’язання керівництва.
- Планування (Planning)
- Аналіз ризиків та можливостей, постановка цілей у сфері ІБ.
- Аналіз ризиків та можливостей, постановка цілей у сфері ІБ.
- Підтримка (Support)
- Ресурси, компетентність персоналу, обізнаність, комунікації, документація.
- Ресурси, компетентність персоналу, обізнаність, комунікації, документація.
- Операції (Operation)
- Як саме організація впроваджує заходи захисту, процеси управління ризиками.
- Як саме організація впроваджує заходи захисту, процеси управління ризиками.
- Оцінка результативності (Performance evaluation)
- Моніторинг, вимірювання, внутрішній аудит, аналіз з боку керівництва.
- Моніторинг, вимірювання, внутрішній аудит, аналіз з боку керівництва.
- Удосконалення (Improvement)
- Коригувальні дії, постійне поліпшення.
- Коригувальні дії, постійне поліпшення.
☯ Головна різниця
- Методологія = орієнтир, набір принципів, добровільний, для розуміння й практики.
- Стандарт = обов’язкові вимоги, аудиторські критерії, сертифікація.
P.s. Вибачте, СУШІ — це система управління штучним інтелектом
