SlideShare ist ein Scribd-Unternehmen logo

СМИБ - игра в долгую

Als PPTX, PDF herunterladen
Alexey Evmenkov
Alexey Evmenkov

Насколько долгую? На всю жизнь. Чью жизнь? Организации, мою?

Internet
1 von 31
СМИБ - игра в долгую Алексей Евменков, Директор ИБ ISsoft, isqa.ru
Представление • Специалист (CISM) по ИБ в ИТ области • Внедряю и подготавливаю к сертификации ИСО 27001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации ИСО 27001 - РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект ИСО 27001 сертификация компании Exadel • Директор ИБ в компании ISsoft, строим целостную СМИБ • Веду блог по ИБ и процессам isqa.ru 2
СМИБ – это игра в долгую, а не проект • СМИБ может (должна) начинаться как проект, • Но продолжаться должна как процесс 3
Игра в долгую? • Игра в долгую - означает на всю жизнь • Жизнь проекта? Организации? Своей жизни? • Жизнь организации • Моя профессиональная жизнь 4
Почему нужно готовиться к игре в долгую? • Вроде все понятно, но обычно мы об этом не задумываемся • Рано или поздно придется 5
#1: Настоящей защищенности не существует Факты из кибервойн@ — Шейн Харрис • Производители создают бэкдоры в аппаратных и программных продуктах • Договоренности АНБ с Google, Microsoft, Amazon и др. –> наша информация доступна для властей, «когда нужно» • Специализированные отделы (АНБ, Китайские подразделения) работают день и ночь .. ломая защиту вашей организации 6 Надежда средней организации – их данные никому не нужны
#2: рано или поздно вы станете интересны • Прогресс не стоит на месте, успешные организации выстраивают процессы, приумножают ценность своих (информационных) активов • Которые вдруг становятся интересными другим • Встречу крокодила – вероятность 50 на 50 (с) • Обычная математика • Тенденции «прозрачности» • Мир становится лучше, но частной жизни больше не будет • См. «Цифророжденные»
#3 поэтому нужно строить «вдолгую» • мы «беззащитны», но как-бы никому не нужны, • вообще-то рано или поздно кому-то понадобимся • вывод - сам о себе не позаботишься, никто не позаботится 8
Строим СМИБ в долгую Чтобы по процессу, надежно, основательно.. 9
Хотим в долгую, но в жизни все быстрее • История про динозавра, про скорость принятия решений, про важность принятия решения через ж. • Да. Решения принимались ж*пой, но это - вынужденный компромисс. • Работая в крупной компании, не удивляйтесь, что многие вопросы решаются «через ж*пу». • Решение головой может занять несколько лет • Дело в том, что вопросы ИБ часто решается через ж, • и в целом это неплохо, если недолго • Плохо если застрять в этом 10
• То, с чем нужно побороться • Основной мозг должен принимать стратегические решения • Куда пойти (чтобы была еда) 11
Упорство и непрерывность • Всегда не хватает ресурсов, знаний, компетенций • Среди нас немного гениев и красавцев • Строить защиту последовательно, неуклонно. 12
Строим идеальную СМИБ? • «Идеального» не существует • Но имеется «нужная» для конкретной организации/бизнеса • Нужно иметь базу, свою, личную – модель/концепцию • Пришла пора включить главный мозг, а не тот что ж. 13
Идеальная СМИБ) Анализ и обработка рисков Внедрение защитных мер
Процесс построения идеальной СМИБ 15 • Минимальный набор • Только основные меры Создание основы • Следование выбранной концепции • Отклик на встретившиеся риски/инциденты Улучшение
Что выбрать/улучшать? • В зависимости от контекста – бизнес или гос, требуемая степень формальности, работа с зарубежьем? • Что лучше знаешь и умеешь – строй на основе доступного опыта
Долгая СМИБ: модель/концепция (пример) 17 СМИБ InfoSec processes Risks Incidents Audit Пререквизиты • Процессно- документная база • Организация ИБ Compliance Cisco SAFE IT & InfoSec Infrastructure Network Security InfoSec Controls Access Control Asset mgmt. Backup mgmt. Antivirus System updating Security Monitoring Business continuity CryptographyHR Security Physical Security InfoSec for Suppliers Application security InfoSec measure ZZZ
18 Пример выбора набора минимальных мер
19 NISTIR 7621 Small Business Information Security: The Fundamentals Пример выбора набора минимальных мер
SAFEModel 20 Пример концепции ИБ/ИТ – для моей «долгой СМИБ»
Риски • Самое тяжелое, выматывающее. • Не рекомендуется пользоваться шаблонами/заготовками • Пч. они лишают жизни и реальности. Ты пишешь только лишь п.ч. вроде правда • Но нужно кровью и соплями – проходить риск за риском, пройтись по всем активам, за год или два. • А шаблоны – только лишь как чеклисты использовать, как генератор идей. 21 Результаты рисков – целостная СМИБ, мы ничего не пропустили.
Инциденты • Максимальное упрощение процесса для сотрудников • «Устная» регистрация • Профессиональная обработка Incident Response Team • Детальный учет, отдельная система трекинга • Анализ причин! • Инциденты нужно обрабатывать массово • «легко и непринужденно» • Создается база, множество новых задач/идей • Управление инцидентами – часть культуры компании 22 Результаты инцидентов – идеи/задачи для СМИБ – идущие напрямую из бизнеса!
Аудиты • Неотвратимость, и для всех уже ок • Определить область покрытия, по каким критериям (например, не менее 25% бизнеса) • Чеклисты подготовить, но это всего лишь направляющие • Управление несоответствиями – анализ причин! 23 Результаты аудитов – идеи/задачи для СМИБ – идущие напрямую из бизнеса!
Защитные меры • Сначала основные (даже не сомневаясь) • Затем строить свою концепцию, свою СМИБ • Риски/инциденты/аудиты -> реальное знание, направление для развития • Стандарты, практики – теоретическая основа, источник идей • Крепкий IT infrastructure – залог правильной СМИБ • Проработка архитектуры сети, концепции сетевой безопасности 24 IT & InfoSec Infrastructure Network Security InfoSec Controls Access Control Asset mgmt. Backup mgmt. Antivirus System updating
Союз ИТ и ИБ ИТ и ИБ – одинаково близки к телу бизнеса
Личное развитие • Игра в долгую - означает на всю жизнь • Жизнь не только организации, но и на мою собственную • Мой шанс – лишь в постоянном проф. развитии • Личная стратегия развития • Крепкое основание и контекст (ИТ/банк, менеджер/технарь, страна, семья) • Видение на несколько лет • Отдельные темы: практика, сертификация, внешний бизнес 26
Личное развитие – «славянские» мотиваторы • Пенсии не будет • Технологии изменяются • Нейросети, блокчейн, искусственный разум • Я не боюсь быть замененным • Но боюсь остановиться, п.ч. тогда точно меня заменят • Вопрос личной профпригодности – никогда не задавали себе? 27
Играем в долгую • Упорство и непрерывность • А что еще делать? (с) • Это то, что сделает проффи из любого • То, что сделает СМИБ рабочей в любой организации 28
АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Создание СМИБ на основе требований ИСО 27001 Полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002. Как пройти сертификацию ИСО 27001. 2х дневный курс, см. информацию по ссылке: http://edu.softline.by/courses/smib.html
30 Зорко наблюдаем!
Крепко держим свою информацию! 31

Empfohlen

Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развии
Alexey Evmenkov
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
Alexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
Alexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Alexey Evmenkov
 

Empfohlen

Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
 
Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.Решение проблем с помощью RCA. Методики и инструменты.
Решение проблем с помощью RCA. Методики и инструменты.
Alexey Evmenkov
 
ИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развииИБ - игра в долгую, или разговор о личном развии
ИБ - игра в долгую, или разговор о личном развии
Alexey Evmenkov
 
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессовITSM Belarus2016. Интеграция ИБ и ИТ процессов
ITSM Belarus2016. Интеграция ИБ и ИТ процессов
Alexey Evmenkov
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
Alexey Evmenkov
 
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нуженРоль Информационной Безопасности в управлении проектами или почему скрипач нужен
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Alexey Evmenkov
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
Expolink
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Aleksey Lukatskiy
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
Positive Development User Group
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
Positive Development User Group
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
Sergey Soldatov
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?
SQALab
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
cnpo
 

Weitere ähnliche Inhalte

Was ist angesagt?

Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
Aleksey Lukatskiy
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
Alex Babenko
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
 

Was ist angesagt? (20)

Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итогпр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 

Ähnlich wie СМИБ - игра в долгую

практикум увода клиентов - Роман Фадеев, Родион Попков
практикум увода клиентов - Роман Фадеев, Родион Попковпрактикум увода клиентов - Роман Фадеев, Родион Попков
практикум увода клиентов - Роман Фадеев, Родион Попков
Даниил Силантьев
 
Как все построено в Dropbox
Как все построено в DropboxКак все построено в Dropbox
Как все построено в Dropbox
Natalia Sakhnova
 
Компания Левенгук_презентация_ингрия_ 2013
Компания Левенгук_презентация_ингрия_ 2013Компания Левенгук_презентация_ингрия_ 2013
Компания Левенгук_презентация_ингрия_ 2013
Ingria. Technopark St. Petersburg
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)
Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)
Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)
Alexander Krass
 
Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)
Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)
Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)
Ontico
 
Как учиться в вузе, заниматься предпринимательством и не умереть в процессе
Как учиться в вузе, заниматься предпринимательством и не умереть в процессеКак учиться в вузе, заниматься предпринимательством и не умереть в процессе
Как учиться в вузе, заниматься предпринимательством и не умереть в процессе
MIkhail Neverov
 

Ähnlich wie СМИБ - игра в долгую (20)

Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?
 
Политики ИБ
Политики ИБПолитики ИБ
Политики ИБ
 
практикум увода клиентов - Роман Фадеев, Родион Попков
практикум увода клиентов - Роман Фадеев, Родион Попковпрактикум увода клиентов - Роман Фадеев, Родион Попков
практикум увода клиентов - Роман Фадеев, Родион Попков
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
Как все построено в Dropbox
Как все построено в DropboxКак все построено в Dropbox
Как все построено в Dropbox
 
Компания Левенгук_презентация_ингрия_ 2013
Компания Левенгук_презентация_ингрия_ 2013Компания Левенгук_презентация_ингрия_ 2013
Компания Левенгук_презентация_ингрия_ 2013
 
Формирование технической команды на старте
Формирование технической команды на старте Формирование технической команды на старте
Формирование технической команды на старте
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)
Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)
Lifestyle для стартапера. Что может помочь (Internet life 2011, Алесандр Красс)
 
7 золотых правил внедрения LMS
7 золотых правил внедрения LMS7 золотых правил внедрения LMS
7 золотых правил внедрения LMS
 
7 золотых правил внедрения системы управления обучением в корпоративной среде...
7 золотых правил внедрения системы управления обучением в корпоративной среде...7 золотых правил внедрения системы управления обучением в корпоративной среде...
7 золотых правил внедрения системы управления обучением в корпоративной среде...
 
Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)
Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)
Ключевые навыки успешной Agile-команды / Дмитрий Лобасев (lobasev.ru)
 
HR-автоматизация.
HR-автоматизация. HR-автоматизация.
HR-автоматизация.
 
231116 hr&technology2016
231116 hr&technology2016231116 hr&technology2016
231116 hr&technology2016
 
Управление привилегированными учетными записями
Управление привилегированными учетными записямиУправление привилегированными учетными записями
Управление привилегированными учетными записями
 
Security Measurement.pdf
Security Measurement.pdfSecurity Measurement.pdf
Security Measurement.pdf
 
TCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISOTCO, ROI & бизнес-кейс для CISO
TCO, ROI & бизнес-кейс для CISO
 
Как учиться в вузе, заниматься предпринимательством и не умереть в процессе
Как учиться в вузе, заниматься предпринимательством и не умереть в процессеКак учиться в вузе, заниматься предпринимательством и не умереть в процессе
Как учиться в вузе, заниматься предпринимательством и не умереть в процессе
 
как нанять и сделать счастливыми хороших программистов и других сотрудников
как нанять и сделать счастливыми хороших программистов и других сотрудниковкак нанять и сделать счастливыми хороших программистов и других сотрудников
как нанять и сделать счастливыми хороших программистов и других сотрудников
 
3 value inno
3 value inno3 value inno
3 value inno
 

СМИБ - игра в долгую

  • 1. СМИБ - игра в долгую Алексей Евменков, Директор ИБ ISsoft, isqa.ru
  • 2. Представление • Специалист (CISM) по ИБ в ИТ области • Внедряю и подготавливаю к сертификации ИСО 27001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации ИСО 27001 - РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект ИСО 27001 сертификация компании Exadel • Директор ИБ в компании ISsoft, строим целостную СМИБ • Веду блог по ИБ и процессам isqa.ru 2
  • 3. СМИБ – это игра в долгую, а не проект • СМИБ может (должна) начинаться как проект, • Но продолжаться должна как процесс 3
  • 4. Игра в долгую? • Игра в долгую - означает на всю жизнь • Жизнь проекта? Организации? Своей жизни? • Жизнь организации • Моя профессиональная жизнь 4
  • 5. Почему нужно готовиться к игре в долгую? • Вроде все понятно, но обычно мы об этом не задумываемся • Рано или поздно придется 5
  • 6. #1: Настоящей защищенности не существует Факты из кибервойн@ — Шейн Харрис • Производители создают бэкдоры в аппаратных и программных продуктах • Договоренности АНБ с Google, Microsoft, Amazon и др. –> наша информация доступна для властей, «когда нужно» • Специализированные отделы (АНБ, Китайские подразделения) работают день и ночь .. ломая защиту вашей организации 6 Надежда средней организации – их данные никому не нужны
  • 7. #2: рано или поздно вы станете интересны • Прогресс не стоит на месте, успешные организации выстраивают процессы, приумножают ценность своих (информационных) активов • Которые вдруг становятся интересными другим • Встречу крокодила – вероятность 50 на 50 (с) • Обычная математика • Тенденции «прозрачности» • Мир становится лучше, но частной жизни больше не будет • См. «Цифророжденные»
  • 8. #3 поэтому нужно строить «вдолгую» • мы «беззащитны», но как-бы никому не нужны, • вообще-то рано или поздно кому-то понадобимся • вывод - сам о себе не позаботишься, никто не позаботится 8
  • 9. Строим СМИБ в долгую Чтобы по процессу, надежно, основательно.. 9
  • 10. Хотим в долгую, но в жизни все быстрее • История про динозавра, про скорость принятия решений, про важность принятия решения через ж. • Да. Решения принимались ж*пой, но это - вынужденный компромисс. • Работая в крупной компании, не удивляйтесь, что многие вопросы решаются «через ж*пу». • Решение головой может занять несколько лет • Дело в том, что вопросы ИБ часто решается через ж, • и в целом это неплохо, если недолго • Плохо если застрять в этом 10
  • 11. • То, с чем нужно побороться • Основной мозг должен принимать стратегические решения • Куда пойти (чтобы была еда) 11
  • 12. Упорство и непрерывность • Всегда не хватает ресурсов, знаний, компетенций • Среди нас немного гениев и красавцев • Строить защиту последовательно, неуклонно. 12
  • 13. Строим идеальную СМИБ? • «Идеального» не существует • Но имеется «нужная» для конкретной организации/бизнеса • Нужно иметь базу, свою, личную – модель/концепцию • Пришла пора включить главный мозг, а не тот что ж. 13
  • 14. Идеальная СМИБ) Анализ и обработка рисков Внедрение защитных мер
  • 15. Процесс построения идеальной СМИБ 15 • Минимальный набор • Только основные меры Создание основы • Следование выбранной концепции • Отклик на встретившиеся риски/инциденты Улучшение
  • 16. Что выбрать/улучшать? • В зависимости от контекста – бизнес или гос, требуемая степень формальности, работа с зарубежьем? • Что лучше знаешь и умеешь – строй на основе доступного опыта
  • 17. Долгая СМИБ: модель/концепция (пример) 17 СМИБ InfoSec processes Risks Incidents Audit Пререквизиты • Процессно- документная база • Организация ИБ Compliance Cisco SAFE IT & InfoSec Infrastructure Network Security InfoSec Controls Access Control Asset mgmt. Backup mgmt. Antivirus System updating Security Monitoring Business continuity CryptographyHR Security Physical Security InfoSec for Suppliers Application security InfoSec measure ZZZ
  • 18. 18 Пример выбора набора минимальных мер
  • 19. 19 NISTIR 7621 Small Business Information Security: The Fundamentals Пример выбора набора минимальных мер
  • 20. SAFEModel 20 Пример концепции ИБ/ИТ – для моей «долгой СМИБ»
  • 21. Риски • Самое тяжелое, выматывающее. • Не рекомендуется пользоваться шаблонами/заготовками • Пч. они лишают жизни и реальности. Ты пишешь только лишь п.ч. вроде правда • Но нужно кровью и соплями – проходить риск за риском, пройтись по всем активам, за год или два. • А шаблоны – только лишь как чеклисты использовать, как генератор идей. 21 Результаты рисков – целостная СМИБ, мы ничего не пропустили.
  • 22. Инциденты • Максимальное упрощение процесса для сотрудников • «Устная» регистрация • Профессиональная обработка Incident Response Team • Детальный учет, отдельная система трекинга • Анализ причин! • Инциденты нужно обрабатывать массово • «легко и непринужденно» • Создается база, множество новых задач/идей • Управление инцидентами – часть культуры компании 22 Результаты инцидентов – идеи/задачи для СМИБ – идущие напрямую из бизнеса!
  • 23. Аудиты • Неотвратимость, и для всех уже ок • Определить область покрытия, по каким критериям (например, не менее 25% бизнеса) • Чеклисты подготовить, но это всего лишь направляющие • Управление несоответствиями – анализ причин! 23 Результаты аудитов – идеи/задачи для СМИБ – идущие напрямую из бизнеса!
  • 24. Защитные меры • Сначала основные (даже не сомневаясь) • Затем строить свою концепцию, свою СМИБ • Риски/инциденты/аудиты -> реальное знание, направление для развития • Стандарты, практики – теоретическая основа, источник идей • Крепкий IT infrastructure – залог правильной СМИБ • Проработка архитектуры сети, концепции сетевой безопасности 24 IT & InfoSec Infrastructure Network Security InfoSec Controls Access Control Asset mgmt. Backup mgmt. Antivirus System updating
  • 25. Союз ИТ и ИБ ИТ и ИБ – одинаково близки к телу бизнеса
  • 26. Личное развитие • Игра в долгую - означает на всю жизнь • Жизнь не только организации, но и на мою собственную • Мой шанс – лишь в постоянном проф. развитии • Личная стратегия развития • Крепкое основание и контекст (ИТ/банк, менеджер/технарь, страна, семья) • Видение на несколько лет • Отдельные темы: практика, сертификация, внешний бизнес 26
  • 27. Личное развитие – «славянские» мотиваторы • Пенсии не будет • Технологии изменяются • Нейросети, блокчейн, искусственный разум • Я не боюсь быть замененным • Но боюсь остановиться, п.ч. тогда точно меня заменят • Вопрос личной профпригодности – никогда не задавали себе? 27
  • 28. Играем в долгую • Упорство и непрерывность • А что еще делать? (с) • Это то, что сделает проффи из любого • То, что сделает СМИБ рабочей в любой организации 28
  • 29. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Создание СМИБ на основе требований ИСО 27001 Полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002. Как пройти сертификацию ИСО 27001. 2х дневный курс, см. информацию по ссылке: http://edu.softline.by/courses/smib.html
  • 31. Крепко держим свою информацию! 31