Enviar búsqueda
Cargar
Как в пылу борьбы за C и R, не забыть про G
•
1 recomendación
•
802 vistas
Aleksey Lukatskiy
Seguir
Empresariales
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 19
Descargar ahora
Descargar para leer sin conexión
Recomendados
Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Finance Security Architecture
Finance Security Architecture
Aleksey Lukatskiy
Security And Crisis
Security And Crisis
Aleksey Lukatskiy
Security Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
Штрафы за несоблюдение ФЗ-152
Штрафы за несоблюдение ФЗ-152
Aleksey Lukatskiy
Recomendados
Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Finance Security Architecture
Finance Security Architecture
Aleksey Lukatskiy
Security And Crisis
Security And Crisis
Aleksey Lukatskiy
Security Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
Штрафы за несоблюдение ФЗ-152
Штрафы за несоблюдение ФЗ-152
Aleksey Lukatskiy
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Aleksey Lukatskiy
Security and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
South Africa.pdf
South Africa.pdf
Aleksey Lukatskiy
Security for Business Impact Analysis
Security for Business Impact Analysis
Aleksey Lukatskiy
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Aleksey Lukatskiy
Security and Crisis
Security and Crisis
Aleksey Lukatskiy
DLP As Part Of Security Standards
DLP As Part Of Security Standards
Aleksey Lukatskiy
Security Metrics.pdf
Security Metrics.pdf
Aleksey Lukatskiy
Security And Usability
Security And Usability
Aleksey Lukatskiy
Security Architecture.pdf
Security Architecture.pdf
Aleksey Lukatskiy
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
Cisco Security and Crisis
Cisco Security and Crisis
Aleksey Lukatskiy
Scada Security Standards
Scada Security Standards
Aleksey Lukatskiy
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Más contenido relacionado
Destacado
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Aleksey Lukatskiy
Security and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
South Africa.pdf
South Africa.pdf
Aleksey Lukatskiy
Security for Business Impact Analysis
Security for Business Impact Analysis
Aleksey Lukatskiy
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Aleksey Lukatskiy
Security and Crisis
Security and Crisis
Aleksey Lukatskiy
DLP As Part Of Security Standards
DLP As Part Of Security Standards
Aleksey Lukatskiy
Security Metrics.pdf
Security Metrics.pdf
Aleksey Lukatskiy
Security And Usability
Security And Usability
Aleksey Lukatskiy
Security Architecture.pdf
Security Architecture.pdf
Aleksey Lukatskiy
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Aleksey Lukatskiy
Cisco Security and Crisis
Cisco Security and Crisis
Aleksey Lukatskiy
Scada Security Standards
Scada Security Standards
Aleksey Lukatskiy
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Aleksey Lukatskiy
Destacado
(14)
Защищенный мобильный офис. Опыт Cisco
Защищенный мобильный офис. Опыт Cisco
Security and football: what's difference
Security and football: what's difference
South Africa.pdf
South Africa.pdf
Security for Business Impact Analysis
Security for Business Impact Analysis
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
Security and Crisis
Security and Crisis
DLP As Part Of Security Standards
DLP As Part Of Security Standards
Security Metrics.pdf
Security Metrics.pdf
Security And Usability
Security And Usability
Security Architecture.pdf
Security Architecture.pdf
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
Cisco Security and Crisis
Cisco Security and Crisis
Scada Security Standards
Scada Security Standards
Стандарты управления инцидентами ИБ
Стандарты управления инцидентами ИБ
Más de Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Más de Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Как в пылу борьбы за C и R, не забыть про G
1.
Как в пылу
борьбы за R и C не забыть, что такое G? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 1/19
2.
GRC – это
решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 2/19
3.
Множество требований Compliance
Национальные и Стандарты Governance для ИТ Другие связанные международные формальные AS8015 (будущий ISO): стандарты бизнес-требования Corporate Governance of ICT ISO9000 OECD Principles of AS8016: AS8017: AS8019: (Quality) Corporate Governance Projects Operations Information ISO 15489 Sarbanes Oxley (Records) ISO 20000: ISO 17799 & UK Combined Code (1998) ITSM & Turnbull Report (1999) ISO 27001: VERS Info Security (Records) EU 8th directive on company law AS 4360 Стандарты де юре управления ИТ Basel (Risk) IFRS COSO II Gateway Records Keeping laws Prince 2 PMBoK ITIL GAISP (anti) spam laws CoBiT Freedom of Information ValIT … Privacy laws … Стандарты де-факто управления ИТ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 3/19
4.
Стандарты управления рисками
AS/NZS 4360 NIST SP 800-3 HB 167:200X SOMAP EBIOS Lanifex Risk Compass ISO 27005 (ISO/IEC IS Austrian IT Security 13335-2) Handbook MAGERIT на основе CRAMM MARION A&K Analysis MEHARI ISF IRAM (включая SARA, SPRINT) CRISAM OSSTMM RAV OCTAVE BSI 100-3 ISO 31000 InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 4/19
5.
Чего нам не
хватает? Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 5/19
6.
Security Management: панацея?
Security Management Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 6/19
7.
Ситуация меняется… но
не для бизнеса Ситуация приводит.. в результате Противодействие Перерасход пользователей ИБ- Очень много бюджета проектам проектов Отсутствие Срыв сроков стратегии развития Нельзя отказаться от проекта Падает качество С бизнесом не Проекты «продаются» связано на эмоциях Преимуществ Недооценка Нет процесса оценки рисков и затрат не видно Отсутствие Перебор с Проекты не доверия к ИБ финансовым ROI связаны со Нет четких стратегией критериев для выбора InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 7/19
8.
Разрыв между бизнесом
и технологиями Управление стратегией Управление архитектурой • Selective hearing • Wishful thinking • Fear • Emotional over- ? investment Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 8/19
9.
“Невозможно решить проблему
на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 9/19
10.
Security Governance как
связующее звено InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 10/19
11.
Определения Security Governance
. . . связь между бизнесом и управлением ИБ . . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры . . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности …подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 11/19
12.
Определения Security Governance
Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ- решений …взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 12/19
13.
Связь с другими
дисциплинами Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня Security governance поддерживает следующие дисциплины: Управление ИБ-активами Управление ИБ-портфолио Архитектура ИБ предприятия Управление ИБ-проектами Управление ИБ-программами Управление ИБ-сервисами Оптимизация бизнес-технологий Измерение ценности и вклада ИБ в бизнес InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 13/19
14.
Модель Security Governance
Управление стратегией Управление архитектурой Управление портфолио Управление программой Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 14/19
15.
•
Закрываем бизнес-проблемы Дублирование инициатив • Решения, не связанные с бизнесом Управление стратегией Управление архитектурой • Слабо продуманные инициативы (очень поздно, очень рано, не требуется) Управление портфолио 52% Управление программой • Доработка Управление (неадекватные требования) активами • Повторное Управление проектами 15% • Неполностью проектирование 33% утилизированная инфраструктура (упущения из-за пропуска • Частые повторы изменений) из-за слабой • Ресурсы не Операционное управление архитектуры связаны с бизнесом Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 15/19
16.
Объединяя все вместе
Security Governance Управление соответствием Управление рисками ? Управление ИБ Защитные меры InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 16/19
17.
Новый взгляд на
безопасность InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 17/19
18.
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 18/19
19.
InfoSecurity 2009
© 2008 Cisco Systems, Inc. All rights reserved. 19/19
Descargar ahora