Más contenido relacionado
Más de Aleksey Lukatskiy (20)
Как в пылу борьбы за C и R, не забыть про G
- 1. Как в пылу борьбы
за R и C не забыть,
что такое G?
Алексей Лукацкий
Бизнес-консультант по безопасности
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 1/19
- 2. GRC – это решение!
ROHS Human
Revenue Credit Capital Project
SOX JSOX FDA Recognition Risk Risk
WEEE Risk
Board of
U.S. Directors
Compliance
Governance Campus
Finance
Germany Risk Mgmt. Governance
Legal
Risk
Japan Mgmt. Sales
Compliance
Risk Mgmt.
Contracts
Data Center
U.K.
Compliance
Compliance HR
Compliance
France
Risk Mgmt. Controller
Risk Mgmt.
China Governance IT
Compliance Branch
Policy Mgmt.
Canada
Governance Risk Mgmt. Audit &
Compliance
India
Treasury
Teleworker
Proj. Doc.
Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 2/19
- 3. Множество требований Compliance
Национальные и Стандарты Governance для ИТ Другие связанные
международные формальные
AS8015 (будущий ISO): стандарты
бизнес-требования
Corporate Governance of ICT
ISO9000
OECD Principles of AS8016: AS8017: AS8019: (Quality)
Corporate Governance Projects Operations Information
ISO 15489
Sarbanes Oxley (Records)
ISO 20000: ISO 17799 &
UK Combined Code (1998) ITSM
& Turnbull Report (1999)
ISO 27001: VERS
Info Security (Records)
EU 8th directive on
company law AS 4360
Стандарты де юре управления ИТ
Basel (Risk)
IFRS COSO
II Gateway
Records Keeping laws Prince 2
PMBoK ITIL GAISP
(anti) spam laws
CoBiT
Freedom of Information
ValIT …
Privacy laws … Стандарты де-факто управления ИТ
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 3/19
- 4. Стандарты управления рисками
AS/NZS 4360 NIST SP 800-3
HB 167:200X SOMAP
EBIOS Lanifex Risk Compass
ISO 27005 (ISO/IEC IS Austrian IT Security
13335-2) Handbook
MAGERIT на основе CRAMM
MARION A&K Analysis
MEHARI ISF IRAM (включая
SARA, SPRINT)
CRISAM
OSSTMM RAV
OCTAVE
BSI 100-3
ISO 31000
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 4/19
- 5. Чего нам не хватает?
Мы слишком концентрируемся на оценке и
управлении рисками, а также на соответствии
десяткам стандартов и нормативных актов
Но инцидентов от этого меньше не становится, как и
понимания со стороны бизнеса
Compliance Risk
Management Management
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 5/19
- 6. Security Management: панацея?
Security
Management
Compliance Risk
Management Management
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 6/19
- 7. Ситуация меняется… но не для бизнеса
Ситуация приводит.. в результате
Противодействие Перерасход
пользователей ИБ- Очень много бюджета
проектам проектов
Отсутствие Срыв сроков
стратегии развития
Нельзя отказаться
от проекта Падает качество С бизнесом не
Проекты «продаются» связано
на эмоциях
Преимуществ
Недооценка
Нет процесса оценки рисков и затрат не видно
Отсутствие
Перебор с
Проекты не доверия к ИБ
финансовым ROI
связаны со
Нет четких стратегией
критериев для
выбора
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 7/19
- 8. Разрыв между бизнесом и
технологиями
Управление стратегией
Управление архитектурой
• Selective hearing
• Wishful thinking
• Fear
• Emotional over-
?
investment
Управление
активами
Управление проектами
Операционное управление
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 8/19
- 9. “Невозможно решить проблему на том
же уровне, на котором она возникла.
Нужно стать выше этой проблемы,
поднявшись на следующий уровень.”
Альберт Эйнштейн
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 9/19
- 10. Security Governance как связующее
звено
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 10/19
- 11. Определения Security Governance
. . . связь между бизнесом и управлением ИБ
. . . стратегические ИБ-решения, за которые отвечает
корпоративный менеджмент, а не CISO или другие
ИБ-менеджеры
. . . Security Governance – это подмножество Corporate
Governance, фокусирующееся на информационной
безопасности
…подтверждение того, что ИБ-проекты легко
управляются и глубоко влияют на достижение бизнес-
целей организации
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 11/19
- 12. Определения Security Governance
Security Governance подразумевает систему, в
которой все ключевые роли, включая совет
директоров и внутренних клиентов, а также
связанные области, такие как, например, финансы,
делают необходимый вклад в процесс принятия ИТ-
решений
…взаимосвязь между ИБ, инициативами
соответствия (compliance), управлением рисками и
корпоративной бизнес-стратегией
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 12/19
- 13. Связь с другими дисциплинами
Governance ≠ Management
При едином переводе на русский язык как «управление», это
понятия совершенно разного уровня
Security governance поддерживает следующие
дисциплины:
Управление ИБ-активами
Управление ИБ-портфолио
Архитектура ИБ предприятия
Управление ИБ-проектами
Управление ИБ-программами
Управление ИБ-сервисами
Оптимизация бизнес-технологий
Измерение ценности и вклада ИБ в бизнес
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 13/19
- 14. Модель Security Governance
Управление стратегией
Управление архитектурой
Управление портфолио
Управление программой
Управление
активами
Управление проектами
Операционное управление
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 14/19
- 15. •
Закрываем бизнес-проблемы
Дублирование
инициатив
• Решения, не связанные
с бизнесом Управление стратегией
Управление архитектурой
• Слабо продуманные
инициативы (очень
поздно, очень рано, не
требуется)
Управление портфолио
52%
Управление программой
• Доработка Управление
(неадекватные
требования) активами
• Повторное Управление проектами 15% • Неполностью
проектирование 33% утилизированная
инфраструктура
(упущения из-за
пропуска • Частые повторы
изменений) из-за слабой
• Ресурсы не Операционное управление архитектуры
связаны с
бизнесом Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s.
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 15/19
- 16. Объединяя все вместе
Security Governance
Управление
соответствием Управление рисками
?
Управление ИБ
Защитные меры
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 16/19
- 17. Новый взгляд на безопасность
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 17/19
- 18. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 18/19