SlideShare una empresa de Scribd logo

Как в пылу борьбы за C и R, не забыть про G

Aleksey Lukatskiy
Aleksey Lukatskiy
EmpresarialesTecnología
1 de 19
Descargar para leer sin conexión
Как в пылу борьбы за R и C не забыть, что такое G? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 1/19
GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 2/19
Множество требований Compliance Национальные и Стандарты Governance для ИТ Другие связанные международные формальные AS8015 (будущий ISO): стандарты бизнес-требования Corporate Governance of ICT ISO9000 OECD Principles of AS8016: AS8017: AS8019: (Quality) Corporate Governance Projects Operations Information ISO 15489 Sarbanes Oxley (Records) ISO 20000: ISO 17799 & UK Combined Code (1998) ITSM & Turnbull Report (1999) ISO 27001: VERS Info Security (Records) EU 8th directive on company law AS 4360 Стандарты де юре управления ИТ Basel (Risk) IFRS COSO II Gateway Records Keeping laws Prince 2 PMBoK ITIL GAISP (anti) spam laws CoBiT Freedom of Information ValIT … Privacy laws … Стандарты де-факто управления ИТ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 3/19
Стандарты управления рисками  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 4/19
Чего нам не хватает?  Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов  Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 5/19
Security Management: панацея? Security Management Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 6/19
Ситуация меняется… но не для бизнеса Ситуация приводит.. в результате Противодействие Перерасход пользователей ИБ- Очень много бюджета проектам проектов Отсутствие Срыв сроков стратегии развития Нельзя отказаться от проекта Падает качество С бизнесом не Проекты «продаются» связано на эмоциях Преимуществ Недооценка Нет процесса оценки рисков и затрат не видно Отсутствие Перебор с Проекты не доверия к ИБ финансовым ROI связаны со Нет четких стратегией критериев для выбора InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 7/19
Разрыв между бизнесом и технологиями Управление стратегией Управление архитектурой • Selective hearing • Wishful thinking • Fear • Emotional over- ? investment Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 8/19
“Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 9/19
Security Governance как связующее звено InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 10/19
Определения Security Governance  . . . связь между бизнесом и управлением ИБ  . . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры  . . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности  …подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 11/19
Определения Security Governance  Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ- решений  …взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 12/19
Связь с другими дисциплинами  Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня  Security governance поддерживает следующие дисциплины: Управление ИБ-активами Управление ИБ-портфолио Архитектура ИБ предприятия Управление ИБ-проектами Управление ИБ-программами Управление ИБ-сервисами Оптимизация бизнес-технологий Измерение ценности и вклада ИБ в бизнес InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 13/19
Модель Security Governance Управление стратегией Управление архитектурой Управление портфолио Управление программой Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 14/19
• Закрываем бизнес-проблемы Дублирование инициатив • Решения, не связанные с бизнесом Управление стратегией Управление архитектурой • Слабо продуманные инициативы (очень поздно, очень рано, не требуется) Управление портфолио 52% Управление программой • Доработка Управление (неадекватные требования) активами • Повторное Управление проектами 15% • Неполностью проектирование 33% утилизированная инфраструктура (упущения из-за пропуска • Частые повторы изменений) из-за слабой • Ресурсы не Операционное управление архитектуры связаны с бизнесом Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 15/19
Объединяя все вместе Security Governance Управление соответствием Управление рисками ? Управление ИБ Защитные меры InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 16/19
Новый взгляд на безопасность InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 17/19
Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 18/19
InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 19/19

Recomendados

Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Finance Security Architecture
Finance Security ArchitectureFinance Security Architecture
Finance Security Architecture
Aleksey Lukatskiy
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And Crisis
Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспектыУправление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
 
Штрафы за несоблюдение ФЗ-152
Штрафы за несоблюдение ФЗ-152Штрафы за несоблюдение ФЗ-152
Штрафы за несоблюдение ФЗ-152
Aleksey Lukatskiy
 

Recomendados

Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Finance Security Architecture
Finance Security ArchitectureFinance Security Architecture
Finance Security Architecture
Aleksey Lukatskiy
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And Crisis
Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспектыУправление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
 
Штрафы за несоблюдение ФЗ-152
Штрафы за несоблюдение ФЗ-152Штрафы за несоблюдение ФЗ-152
Штрафы за несоблюдение ФЗ-152
Aleksey Lukatskiy
 
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт CiscoЗащищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
South Africa.pdf
South Africa.pdfSouth Africa.pdf
South Africa.pdf
Aleksey Lukatskiy
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact Analysis
Aleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Aleksey Lukatskiy
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and Crisis
Aleksey Lukatskiy
 
DLP As Part Of Security Standards
DLP As Part Of Security StandardsDLP As Part Of Security Standards
DLP As Part Of Security Standards
Aleksey Lukatskiy
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
Aleksey Lukatskiy
 
Security And Usability
Security And UsabilitySecurity And Usability
Security And Usability
Aleksey Lukatskiy
 
Security Architecture.pdf
Security Architecture.pdfSecurity Architecture.pdf
Security Architecture.pdf
Aleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
Aleksey Lukatskiy
 
Scada Security Standards
Scada Security StandardsScada Security Standards
Scada Security Standards
Aleksey Lukatskiy
 
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБСтандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
 
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
 

Más contenido relacionado

Destacado

Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт CiscoЗащищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact Analysis
Aleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Aleksey Lukatskiy
 
DLP As Part Of Security Standards
DLP As Part Of Security StandardsDLP As Part Of Security Standards
DLP As Part Of Security Standards
Aleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
 
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБСтандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
 

Destacado (14)

Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт CiscoЗащищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
South Africa.pdf
South Africa.pdfSouth Africa.pdf
South Africa.pdf
 
Security for Business Impact Analysis
Security for Business Impact AnalysisSecurity for Business Impact Analysis
Security for Business Impact Analysis
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and Crisis
 
DLP As Part Of Security Standards
DLP As Part Of Security StandardsDLP As Part Of Security Standards
DLP As Part Of Security Standards
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Security And Usability
Security And UsabilitySecurity And Usability
Security And Usability
 
Security Architecture.pdf
Security Architecture.pdfSecurity Architecture.pdf
Security Architecture.pdf
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
Scada Security Standards
Scada Security StandardsScada Security Standards
Scada Security Standards
 
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБСтандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
 

Más de Aleksey Lukatskiy

Más de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Как в пылу борьбы за C и R, не забыть про G

  • 1. Как в пылу борьбы за R и C не забыть, что такое G? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 1/19
  • 2. GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 2/19
  • 3. Множество требований Compliance Национальные и Стандарты Governance для ИТ Другие связанные международные формальные AS8015 (будущий ISO): стандарты бизнес-требования Corporate Governance of ICT ISO9000 OECD Principles of AS8016: AS8017: AS8019: (Quality) Corporate Governance Projects Operations Information ISO 15489 Sarbanes Oxley (Records) ISO 20000: ISO 17799 & UK Combined Code (1998) ITSM & Turnbull Report (1999) ISO 27001: VERS Info Security (Records) EU 8th directive on company law AS 4360 Стандарты де юре управления ИТ Basel (Risk) IFRS COSO II Gateway Records Keeping laws Prince 2 PMBoK ITIL GAISP (anti) spam laws CoBiT Freedom of Information ValIT … Privacy laws … Стандарты де-факто управления ИТ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 3/19
  • 4. Стандарты управления рисками  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 4/19
  • 5. Чего нам не хватает?  Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов  Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 5/19
  • 6. Security Management: панацея? Security Management Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 6/19
  • 7. Ситуация меняется… но не для бизнеса Ситуация приводит.. в результате Противодействие Перерасход пользователей ИБ- Очень много бюджета проектам проектов Отсутствие Срыв сроков стратегии развития Нельзя отказаться от проекта Падает качество С бизнесом не Проекты «продаются» связано на эмоциях Преимуществ Недооценка Нет процесса оценки рисков и затрат не видно Отсутствие Перебор с Проекты не доверия к ИБ финансовым ROI связаны со Нет четких стратегией критериев для выбора InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 7/19
  • 8. Разрыв между бизнесом и технологиями Управление стратегией Управление архитектурой • Selective hearing • Wishful thinking • Fear • Emotional over- ? investment Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 8/19
  • 9. “Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 9/19
  • 10. Security Governance как связующее звено InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 10/19
  • 11. Определения Security Governance  . . . связь между бизнесом и управлением ИБ  . . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры  . . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности  …подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 11/19
  • 12. Определения Security Governance  Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ- решений  …взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 12/19
  • 13. Связь с другими дисциплинами  Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня  Security governance поддерживает следующие дисциплины: Управление ИБ-активами Управление ИБ-портфолио Архитектура ИБ предприятия Управление ИБ-проектами Управление ИБ-программами Управление ИБ-сервисами Оптимизация бизнес-технологий Измерение ценности и вклада ИБ в бизнес InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 13/19
  • 14. Модель Security Governance Управление стратегией Управление архитектурой Управление портфолио Управление программой Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 14/19
  • 15. Закрываем бизнес-проблемы Дублирование инициатив • Решения, не связанные с бизнесом Управление стратегией Управление архитектурой • Слабо продуманные инициативы (очень поздно, очень рано, не требуется) Управление портфолио 52% Управление программой • Доработка Управление (неадекватные требования) активами • Повторное Управление проектами 15% • Неполностью проектирование 33% утилизированная инфраструктура (упущения из-за пропуска • Частые повторы изменений) из-за слабой • Ресурсы не Операционное управление архитектуры связаны с бизнесом Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 15/19
  • 16. Объединяя все вместе Security Governance Управление соответствием Управление рисками ? Управление ИБ Защитные меры InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 16/19
  • 17. Новый взгляд на безопасность InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 17/19
  • 18. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 18/19
  • 19. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 19/19