1. СМИБ - игра в долгую
Алексей Евменков,
Директор ИБ ISsoft, isqa.ru
2. Представление
• Специалист (CISM) по ИБ в ИТ области
• Внедряю и подготавливаю к сертификации ИСО 27001
• Первая в РБ ИСО 27001 сертификация (в2008г, Tieto)
• Консалтинг и сертификации ИСО 27001 - РБ, Россия,
Финляндия, Швеция, Прибалтика
• Последний крупный проект ИСО 27001 сертификация
компании Exadel
• Директор ИБ в компании ISsoft, строим целостную СМИБ
• Веду блог по ИБ и процессам isqa.ru
2
3. СМИБ – это игра в долгую, а не проект
• СМИБ может (должна) начинаться как проект,
• Но продолжаться должна как процесс
3
4. Игра в долгую?
• Игра в долгую - означает на всю жизнь
• Жизнь проекта? Организации? Своей
жизни?
• Жизнь организации
• Моя профессиональная жизнь
4
5. Почему нужно
готовиться к игре в
долгую?
• Вроде все понятно, но
обычно мы об этом не
задумываемся
• Рано или поздно придется
5
6. #1: Настоящей защищенности не существует
Факты из кибервойн@ — Шейн Харрис
• Производители создают бэкдоры в аппаратных и
программных продуктах
• Договоренности АНБ с Google, Microsoft, Amazon
и др. –> наша информация доступна для властей,
«когда нужно»
• Специализированные отделы (АНБ, Китайские
подразделения) работают день и ночь .. ломая
защиту вашей организации
6
Надежда средней организации – их
данные никому не нужны
7. #2: рано или поздно
вы станете интересны
• Прогресс не стоит на месте,
успешные организации выстраивают
процессы, приумножают ценность
своих (информационных) активов
• Которые вдруг становятся
интересными другим
• Встречу крокодила – вероятность 50
на 50 (с)
• Обычная математика
• Тенденции «прозрачности»
• Мир становится лучше, но частной
жизни больше не будет
• См. «Цифророжденные»
8. #3 поэтому нужно строить «вдолгую»
• мы «беззащитны», но как-бы никому не нужны,
• вообще-то рано или поздно кому-то понадобимся
• вывод - сам о себе не позаботишься, никто не позаботится
8
10. Хотим в долгую, но в жизни все быстрее
• История про динозавра, про скорость
принятия решений, про важность
принятия решения через ж.
• Да. Решения принимались ж*пой, но
это - вынужденный компромисс.
• Работая в крупной компании, не
удивляйтесь, что многие вопросы
решаются «через ж*пу».
• Решение головой может занять
несколько лет
• Дело в том, что вопросы ИБ часто
решается через ж,
• и в целом это неплохо, если недолго
• Плохо если застрять в этом
10
11. • То, с чем нужно
побороться
• Основной мозг должен
принимать
стратегические решения
• Куда пойти (чтобы была
еда)
11
12. Упорство и
непрерывность
• Всегда не хватает
ресурсов, знаний,
компетенций
• Среди нас немного
гениев и красавцев
• Строить защиту
последовательно,
неуклонно.
12
13. Строим идеальную СМИБ?
• «Идеального» не существует
• Но имеется «нужная» для конкретной организации/бизнеса
• Нужно иметь базу, свою, личную – модель/концепцию
• Пришла пора включить главный мозг, а не тот что ж.
13
15. Процесс построения идеальной СМИБ
15
• Минимальный набор
• Только основные меры
Создание
основы
• Следование выбранной концепции
• Отклик на встретившиеся риски/инциденты
Улучшение
16. Что выбрать/улучшать?
• В зависимости от контекста – бизнес
или гос, требуемая степень
формальности, работа с зарубежьем?
• Что лучше знаешь и умеешь – строй на
основе доступного опыта
17. Долгая СМИБ: модель/концепция (пример)
17
СМИБ
InfoSec processes
Risks
Incidents
Audit
Пререквизиты
• Процессно-
документная
база
• Организация ИБ
Compliance
Cisco SAFE
IT & InfoSec Infrastructure
Network Security
InfoSec Controls
Access Control
Asset mgmt. Backup mgmt.
Antivirus System updating
Security Monitoring
Business
continuity
CryptographyHR Security
Physical Security InfoSec for
Suppliers
Application security
InfoSec measure
ZZZ
21. Риски
• Самое тяжелое, выматывающее.
• Не рекомендуется пользоваться
шаблонами/заготовками
• Пч. они лишают жизни и реальности. Ты
пишешь только лишь п.ч. вроде правда
• Но нужно кровью и соплями –
проходить риск за риском, пройтись по
всем активам, за год или два.
• А шаблоны – только лишь как чеклисты
использовать, как генератор идей.
21
Результаты рисков – целостная СМИБ, мы ничего не
пропустили.
22. Инциденты
• Максимальное упрощение процесса для
сотрудников
• «Устная» регистрация
• Профессиональная обработка Incident
Response Team
• Детальный учет, отдельная система трекинга
• Анализ причин!
• Инциденты нужно обрабатывать массово
• «легко и непринужденно»
• Создается база, множество новых задач/идей
• Управление инцидентами – часть
культуры компании
22
Результаты инцидентов – идеи/задачи для
СМИБ – идущие напрямую из бизнеса!
23. Аудиты
• Неотвратимость, и для всех уже ок
• Определить область покрытия, по
каким критериям (например, не
менее 25% бизнеса)
• Чеклисты подготовить, но это всего
лишь направляющие
• Управление несоответствиями –
анализ причин!
23
Результаты аудитов – идеи/задачи для СМИБ –
идущие напрямую из бизнеса!
24. Защитные меры
• Сначала основные (даже не сомневаясь)
• Затем строить свою концепцию, свою СМИБ
• Риски/инциденты/аудиты -> реальное знание,
направление для развития
• Стандарты, практики – теоретическая основа,
источник идей
• Крепкий IT infrastructure – залог правильной
СМИБ
• Проработка архитектуры сети, концепции
сетевой безопасности
24
IT & InfoSec Infrastructure
Network Security
InfoSec Controls
Access Control
Asset mgmt. Backup mgmt.
Antivirus System updating
25. Союз ИТ и ИБ
ИТ и ИБ – одинаково
близки к телу бизнеса
26. Личное развитие
• Игра в долгую - означает на всю жизнь
• Жизнь не только организации, но и на мою
собственную
• Мой шанс – лишь в постоянном проф.
развитии
• Личная стратегия развития
• Крепкое основание и контекст (ИТ/банк,
менеджер/технарь, страна, семья)
• Видение на несколько лет
• Отдельные темы: практика, сертификация,
внешний бизнес
26
27. Личное развитие – «славянские» мотиваторы
• Пенсии не будет
• Технологии изменяются
• Нейросети, блокчейн,
искусственный разум
• Я не боюсь быть замененным
• Но боюсь остановиться, п.ч. тогда
точно меня заменят
• Вопрос личной профпригодности
– никогда не задавали себе?
27
28. Играем в долгую
• Упорство и непрерывность
• А что еще делать? (с)
• Это то, что сделает проффи из любого
• То, что сделает СМИБ рабочей в
любой организации
28
29. АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com
Авторский курс: Создание СМИБ на основе
требований ИСО 27001
Полное руководство по внедрению
ИСО 27001 и защитных мер из ИСО 27002.
Как пройти сертификацию ИСО 27001.
2х дневный курс, см. информацию по ссылке:
http://edu.softline.by/courses/smib.html