SlideShare una empresa de Scribd logo

ITSM Belarus2016. Интеграция ИБ и ИТ процессов

Descargar como PPTX, PDF
Alexey Evmenkov
Alexey Evmenkov

Интеграция ИБ и ИТ процессов. Какая практика "важнее". Как решить конфликт интересов.

Tecnología
1 de 39
Интеграция ИБ и ИТ процессов Алексей Евменков, CISM isqa.ru 2016-11-10
Аннотация • Процессы управления ИБ и ИТ всегда были рядом. Все это красиво нарисовано на карте процессов ITIL, в модном нынче Cobit 5. • На практике же случается, что ИБ становится "тормозом" для полноценного развертывания ИТ процессов (и наоборот). • Также, не всегда понятно, в чем вообще польза ИБ. • В докладе поговорим о конфликтах интересов ИБ и ИТ. Рассмотрим пересечение ИБ и ИТ процессов, их возможную интеграцию. • Размышления про ИБ и ИТ
Представление • Специалист по ИБ (CISM), по процессам и качеству в ИТ области • Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект (май 2016г.)ИСО 27001 сертификация компании Exadel. • Директор ИБ в компании ISsoft • Партнер компании UGIS по направлению ИБ
Что такое ИТ и ИБ процессы • Речь об ИТ и ИБ процессах. Что это такое? • ИТ процессы – поддерживают ИТ инфраструктуру • Где посмотреть? ITIL, Cobit • ИБ процессы – обеспечивают информационную безопасность активов организации • Где посмотреть? ISO 27001/27002, NIST Во многом - пересекаются
ИТ в ИБ или ИБ в ИТ?
Некое откровение: ИБ и ИТ пересекаются, но природа разная Поэтому при всех «совет да любовь», в организме бизнеса возможен конфликт (особенно когда кто-то подрастет)
Суть конфликта: разная природа ИБ и ИТ 7 Метод достижения Ограничение Открытость Основные функции Обеспечение безопасности информации: конфиденциальность, целостность и доступность Обеспечение мобильности, скорости, доступности, целостности систем Цель Защита информации Удобство использования для бизнеса ИБ ИТ
Ключ решения конфликта: владелец актива • Решение – во владельце актива • На основе чего? На управлении рисками • И методику лучше бы предоставило ИБ
Кто есть владелец актива? Нетривиальный вопрос
Лирика: ИБ/ИТ - кто ближе к телу? (Имеется мнение) ИБ более близка к бизнесу • Необходимость доносить риски на уровне бизнеса • Работа со всеми подразделениями Вообще, и ИБ и ИТ – потребители на теле бизнеса • Нет лучше или хуже – обе практики – центры затрат. ИТ – более основательна, ближе к бизнесу с точки зрения средств производства Но ИБ в посл. время становится критичней – информационные активы стоят дороже ИТ процессов их поддерживающих
Если все равны, то почему не объединить?
Объединить не получится, п.ч. природа разная (см. Откровение #1)
Поэтому не рекомендуется делать ИБ частью ИТ отдела • ИТ часто бывает источником рисков (высокие привелегии) • И в случае инцидента с ИТ, ИБ «стреляет себе в ногу»
• ИБ и HR процессы суть одно • ИБ и Производственные процессы суть одно • ИБ и … суть одно Подозрение: ИБ и ИТ процессы суть одно
ИБ – некий аттрибут любого из процессов, придающий ему блеск и совершенство • Обеспечивающий конфиденциальность, целостность и доступность Вывод: ИБ – это атрибут
«Добавленный блеск» – на примере процесса управления доступом Процесс управления доступом Дал доступ Отобрал доступ Single sign-on внедри л Сменил дефаултны й пароль Процесс управления доступом (хороший уровень)
Управление доступом в ИСО 27002 A.9.1 Business requirements of access control A.9.1.1 Access control policy A.9.1.2 Access to networks and network services A.9.2 User access management A.9.2.1 User registration and de-registration A.9.2.2 User access provisioning A.9.2.3 Management of privileged access rights A.9.2.4 Management of secret authentication information of users A.9.2.5 Review of user access rights A.9.2.6 Removal or adjustment of access rights A.9.3 User responsibilities A.9.3.1 Use of secret authentication information A.9.4 System and application access control A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.3 Password management system A.9.4.4 Use of privileged utility programs A.9.4.5 Access control to program source code
• Редко встретишь • Сложно доказать • Абстрактно и ненужно выделять • Возможные примеры: • Управление рисками • Аудиты ИБ :) • Криптография? • Процесс обеспечения непрерывности бизнеса Вопрос: отдельные ИБ процессы?
Найдем ИБ в ИТ
Хинт: как распознать ИБ процесс? Любой процесс, обеспечивающий конфиденциальность, целостность и доступность обслуживаемого актива Например • Управление изменениями? • Отношения с подрядчиками? • Мощности, проблемы, SLA etc.
ИБ процессы в ITIL
Лирика: как ITIL видит ИБ? • Как ISMS построенную на ИСО 27001 • Как IT Security (но ISO 27001 – гораздо шире чем просто IT) • C ограниченным применением Risk mgmt. – хотя это «двигатель» ISMS • Абстрактно • Но тем не менее, дает много идей как построить ISMS (даже сверх ISO 27001) • KPI, challenges, CSF, OLA/SLA и др • Необычный взгляд на ИБ
IT Security Management process в ITIL
Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер Классическая схема СМИБ
ИБ процессы в Cobit 5
ITIL брал! COBIT не брал… Лирика: существуют ли в природе внедренцы COBIT?
Найдем ИТ в ИБ
ИТ процессы в ИБ (ISO 27002) ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность (оборудование) Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса (резервирование) Соответствие требованиям регуляторов Мобильные устройства и удаленная работа Техническая мера Косвенно техническая мера Нетехническая мера Легенда:
ИТ процессы в ИБ (NIST)
Предположение: блеск и величие ИБ – в ее многоплановости
Многоплановость ИБ Источник: NIST Cybersecurity framework
Многоплановость ИБ
Многоплановость ИБ
Вопрос: почему такая хорошая штука нервирует?
Слишком много блеска - плохо
Недооценка рисков и ИБ в целом - плохо
Что же такое интеграция ИТ и ИБ? Это командная игра)
Суммируя • ИБ и ИТ - практики равнозначны, но ИБ более многопланова • ИБ и ИТ имеют разные сущности, имеется конфликт интересов • Решение – в решении владельца связанных активов • ИБ – это как блеск, level up на процессе ИТ
АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Внедрение СМИБ Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 http://edu.softline.by/courses/smib.html

Recomendados

Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 

Recomendados

Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организацийAlexey Evmenkov
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгуюAlexey Evmenkov
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Alexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженAlexey Evmenkov
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27kAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. ItsmAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
ИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияYury Kupriyanov
 

Más contenido relacionado

La actualidad más candente

ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"Expolink
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженSQALab
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 

La actualidad más candente (20)

ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нуженРоль информационной безопасности в управлении проектами или Почему скрипач нужен
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27k
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
пр стандарты иб. Itsm
пр стандарты иб. Itsmпр стандарты иб. Itsm
пр стандарты иб. Itsm
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 

Similar a ITSM Belarus2016. Интеграция ИБ и ИТ процессов

Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
ИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияYury Kupriyanov
 
0 hfile 959_1
0 hfile 959_10 hfile 959_1
0 hfile 959_1mokorolev
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Glib Pakharenko
 
Современные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесом
Современные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесомСовременные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесом
Современные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесомMichael Kozloff
 
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаАудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаIvan Piskunov
 
Управление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облакаУправление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облакаMichael Kozloff
 
Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...
Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...
Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...WG_ Events
 
Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"Kate Koltunova
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Grigoriy Chkheidze
 
Управление персоналом ИТ: рыбы – друзья, а не еда
Управление персоналом ИТ: рыбы – друзья, а не едаУправление персоналом ИТ: рыбы – друзья, а не еда
Управление персоналом ИТ: рыбы – друзья, а не едаCleverics
 

Similar a ITSM Belarus2016. Интеграция ИБ и ИТ процессов (20)

Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
ИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятияИТ: архитектура и стратегия предприятия
ИТ: архитектура и стратегия предприятия
 
ит для Tsp
ит для Tspит для Tsp
ит для Tsp
 
0 hfile 959_1
0 hfile 959_10 hfile 959_1
0 hfile 959_1
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
пр Cobit5 (обзор)
пр Cobit5 (обзор)пр Cobit5 (обзор)
пр Cobit5 (обзор)
 
Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2Iso 27001 01_dmytriyev_kiev_2010_july_v2
Iso 27001 01_dmytriyev_kiev_2010_july_v2
 
It strategy-transformation-mkozloffv
It strategy-transformation-mkozloffvIt strategy-transformation-mkozloffv
It strategy-transformation-mkozloffv
 
Современные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесом
Современные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесомСовременные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесом
Современные тенденции в ИТ на примере мобильности и управления ДИТ как бизнесом
 
IT Asset Management
IT Asset ManagementIT Asset Management
IT Asset Management
 
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнесаАудит ИБ как инструмент повышения эффективности вашего бизнеса
Аудит ИБ как инструмент повышения эффективности вашего бизнеса
 
Управление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облакаУправление ДИТ как бизнесом внутри бизнеса на основе частного облака
Управление ДИТ как бизнесом внутри бизнеса на основе частного облака
 
Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...
Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...
Self Service BI. Как перейти от Excel к визуализации / Иван Климович для Data...
 
Bi Ыystem
Bi ЫystemBi Ыystem
Bi Ыystem
 
BI System
BI SystemBI System
BI System
 
Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"Семинар "Введение в стандарт COBIT"
Семинар "Введение в стандарт COBIT"
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
Подходы к созданию интегрированных систем менеджмента для современных ИТ-Комп...
 
Управление персоналом ИТ: рыбы – друзья, а не еда
Управление персоналом ИТ: рыбы – друзья, а не едаУправление персоналом ИТ: рыбы – друзья, а не еда
Управление персоналом ИТ: рыбы – друзья, а не еда
 
Стеклянная стена между ИТ и бизнесом
Стеклянная стена между ИТ и бизнесомСтеклянная стена между ИТ и бизнесом
Стеклянная стена между ИТ и бизнесом
 

Último

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 

Último (9)

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 

ITSM Belarus2016. Интеграция ИБ и ИТ процессов

  • 1. Интеграция ИБ и ИТ процессов Алексей Евменков, CISM isqa.ru 2016-11-10
  • 2. Аннотация • Процессы управления ИБ и ИТ всегда были рядом. Все это красиво нарисовано на карте процессов ITIL, в модном нынче Cobit 5. • На практике же случается, что ИБ становится "тормозом" для полноценного развертывания ИТ процессов (и наоборот). • Также, не всегда понятно, в чем вообще польза ИБ. • В докладе поговорим о конфликтах интересов ИБ и ИТ. Рассмотрим пересечение ИБ и ИТ процессов, их возможную интеграцию. • Размышления про ИБ и ИТ
  • 3. Представление • Специалист по ИБ (CISM), по процессам и качеству в ИТ области • Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект (май 2016г.)ИСО 27001 сертификация компании Exadel. • Директор ИБ в компании ISsoft • Партнер компании UGIS по направлению ИБ
  • 4. Что такое ИТ и ИБ процессы • Речь об ИТ и ИБ процессах. Что это такое? • ИТ процессы – поддерживают ИТ инфраструктуру • Где посмотреть? ITIL, Cobit • ИБ процессы – обеспечивают информационную безопасность активов организации • Где посмотреть? ISO 27001/27002, NIST Во многом - пересекаются
  • 5. ИТ в ИБ или ИБ в ИТ?
  • 6. Некое откровение: ИБ и ИТ пересекаются, но природа разная Поэтому при всех «совет да любовь», в организме бизнеса возможен конфликт (особенно когда кто-то подрастет)
  • 7. Суть конфликта: разная природа ИБ и ИТ 7 Метод достижения Ограничение Открытость Основные функции Обеспечение безопасности информации: конфиденциальность, целостность и доступность Обеспечение мобильности, скорости, доступности, целостности систем Цель Защита информации Удобство использования для бизнеса ИБ ИТ
  • 8. Ключ решения конфликта: владелец актива • Решение – во владельце актива • На основе чего? На управлении рисками • И методику лучше бы предоставило ИБ
  • 9. Кто есть владелец актива? Нетривиальный вопрос
  • 10. Лирика: ИБ/ИТ - кто ближе к телу? (Имеется мнение) ИБ более близка к бизнесу • Необходимость доносить риски на уровне бизнеса • Работа со всеми подразделениями Вообще, и ИБ и ИТ – потребители на теле бизнеса • Нет лучше или хуже – обе практики – центры затрат. ИТ – более основательна, ближе к бизнесу с точки зрения средств производства Но ИБ в посл. время становится критичней – информационные активы стоят дороже ИТ процессов их поддерживающих
  • 11. Если все равны, то почему не объединить?
  • 12. Объединить не получится, п.ч. природа разная (см. Откровение #1)
  • 13. Поэтому не рекомендуется делать ИБ частью ИТ отдела • ИТ часто бывает источником рисков (высокие привелегии) • И в случае инцидента с ИТ, ИБ «стреляет себе в ногу»
  • 14. • ИБ и HR процессы суть одно • ИБ и Производственные процессы суть одно • ИБ и … суть одно Подозрение: ИБ и ИТ процессы суть одно
  • 15. ИБ – некий аттрибут любого из процессов, придающий ему блеск и совершенство • Обеспечивающий конфиденциальность, целостность и доступность Вывод: ИБ – это атрибут
  • 16. «Добавленный блеск» – на примере процесса управления доступом Процесс управления доступом Дал доступ Отобрал доступ Single sign-on внедри л Сменил дефаултны й пароль Процесс управления доступом (хороший уровень)
  • 17. Управление доступом в ИСО 27002 A.9.1 Business requirements of access control A.9.1.1 Access control policy A.9.1.2 Access to networks and network services A.9.2 User access management A.9.2.1 User registration and de-registration A.9.2.2 User access provisioning A.9.2.3 Management of privileged access rights A.9.2.4 Management of secret authentication information of users A.9.2.5 Review of user access rights A.9.2.6 Removal or adjustment of access rights A.9.3 User responsibilities A.9.3.1 Use of secret authentication information A.9.4 System and application access control A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.3 Password management system A.9.4.4 Use of privileged utility programs A.9.4.5 Access control to program source code
  • 18. • Редко встретишь • Сложно доказать • Абстрактно и ненужно выделять • Возможные примеры: • Управление рисками • Аудиты ИБ :) • Криптография? • Процесс обеспечения непрерывности бизнеса Вопрос: отдельные ИБ процессы?
  • 20. Хинт: как распознать ИБ процесс? Любой процесс, обеспечивающий конфиденциальность, целостность и доступность обслуживаемого актива Например • Управление изменениями? • Отношения с подрядчиками? • Мощности, проблемы, SLA etc.
  • 22. Лирика: как ITIL видит ИБ? • Как ISMS построенную на ИСО 27001 • Как IT Security (но ISO 27001 – гораздо шире чем просто IT) • C ограниченным применением Risk mgmt. – хотя это «двигатель» ISMS • Абстрактно • Но тем не менее, дает много идей как построить ISMS (даже сверх ISO 27001) • KPI, challenges, CSF, OLA/SLA и др • Необычный взгляд на ИБ
  • 23. IT Security Management process в ITIL
  • 24. Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер Классическая схема СМИБ
  • 26. ITIL брал! COBIT не брал… Лирика: существуют ли в природе внедренцы COBIT?
  • 28. ИТ процессы в ИБ (ISO 27002) ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность (оборудование) Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса (резервирование) Соответствие требованиям регуляторов Мобильные устройства и удаленная работа Техническая мера Косвенно техническая мера Нетехническая мера Легенда:
  • 30. Предположение: блеск и величие ИБ – в ее многоплановости
  • 36. Недооценка рисков и ИБ в целом - плохо
  • 37. Что же такое интеграция ИТ и ИБ? Это командная игра)
  • 38. Суммируя • ИБ и ИТ - практики равнозначны, но ИБ более многопланова • ИБ и ИТ имеют разные сущности, имеется конфликт интересов • Решение – в решении владельца связанных активов • ИБ – это как блеск, level up на процессе ИТ
  • 39. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Внедрение СМИБ Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 http://edu.softline.by/courses/smib.html

Notas del editor

  1. Несколько преувеличено, но природа такая
  2. Есть вообще кто-либо, использующий кобит для внедрения ИТ процессов? ИБ внедряются по ИСО, но ИТ – не видел (только по ITIL)