1.
Как CISO не потонуть
в списке задач:
определяем цели
и приоритеты
Андрей Прозоров, CISM
80na20.blogspot.com
CISO Forum, 23.04.2019

2.
2
1.Внутренняя
ИБ
Консалтинг /
Интеграция
Вендор
MDR / MSSP
12 лет в ИБ

3.
3
Управление и
коммуникации
Процессы
Рутина
(отчеты,
письма,
совещания)
Проекты

4.
Процессы ИБ в рамках СУИБ
4
Процесс
Периодичность
(раз в год)
Процесс
Периодичность
(раз в год)
Заседание Комитета по ИБ 10-12 Отработка NCR (пересмотр) 6
Управление рисками ИБ
(пересмотр реестра рисков)
4 Управление инцидентами Регулярно
Измерение ИБ (Метрики и KPI) 2 Пересмотр документации СУИБ 1
Анализ ИБ со стороны руководства
(отчет)
2 Управление правами доступа
(заявки)
Регулярно
Повышение осведомленности
сотрудников (тренинги)
4-6 Пересмотр прав доступа 4
Технические аудиты ИБ
(сканирование сети)
6-12 Проверка систем резервного
коопирования и восстановления
1-2
Внутренние аудиты ИБ 2 Проверка BCP/DRP 1
Внешние аудиты ИБ 1-2 Управление изменениями Регулярно
Аудиты поставщиков 1-2 Работа с обратной связью Регулярно

5.
5

6.
Идеи, Подходы и Системы ТМ
6
• Хронометраж
• Списки задач и Чек-листы
• Список 1-3-5
• Список Не Дел
• Анти-to-do лист
• Планирование по часам
• Планирование Chronodex
• Пустой Inbox
• Принцип Парето (80/20)
• Съесть лягушку
• Съесть слона по кусочкам
• Техника Помодоро
• Закон Паркинсона («Работа
заполняет время,
отпущенное на неё»)
• Running task List
• Матрица Эйзенхауэра
• Анализ ABC (15, 20, 65%)
• Пирамида Продуктивности /
Пирамида Франклина
• Ментальные карты целей
• Спринты
• Колесо баланса
• ZDT (Бабаута)
• Диаграмма Ганта
• Про счастье и перфекционизм
(Тал Бен-Шахар)
• QBQ (Question Behind the
Question, QBQ (Джон Миллер)
• Тайм-драйв (Архангелский)
• GTD (Аллан)
• Космос (Ленгольд)
• Джедайские техники (Дорофеев)
• 30 дней достижения результата (Мейер)
• Как работать 4 часа в неделю (Феррис)
• Экстремальный тайм-менеджмент
(Мрочковский и Толкачев)
• Медвежья стратегия (Зайверт)
• Time Power (Трейси)
• Матрица управления временем (Кови)
• Тайм-менеджмент «изнутри наружу»
(Моргенстерн)
• Agile / Scrum / Kanban

7.
Идеи, Подходы и Системы ТМ
7
• Хронометраж
• Списки задач и Чек-листы
• Список 1-3-5
• Список Не Дел
• Анти-to-do лист
• Планирование по часам
• Планирование Chronodex
• Пустой Inbox
• Принцип Парето (80/20)
• Съесть лягушку
• Съесть слона по кусочкам
• Техника Помодоро
• Закон Паркинсона («Работа
заполняет время,
отпущенное на неё»)
• Running task List
• Матрица Эйзенхауэра
• Анализ ABC (15, 20, 65%)
• Пирамида Продуктивности /
Пирамида Франклина
• Ментальные карты целей
• Спринты
• Колесо баланса
• ZDT (Бабаута)
• Диаграмма Ганта
• Про счастье и перфекционизм
(Тал Бен-Шахар)
• QBQ (Question Behind the
Question, QBQ (Джон Миллер)
• Тайм-драйв (Архангелский)
• GTD (Аллан)
• Космос (Ленгольд)
• Джедайские техники (Дорофеев)
• 30 дней достижения результата (Мейер)
• Как работать 4 часа в неделю (Феррис)
• Экстремальный тайм-менеджмент
(Мрочковский и Толкачев)
• Медвежья стратегия (Зайверт)
• Time Power (Трейси)
• Матрица управления временем (Кови)
• Тайм-менеджмент «изнутри наружу»
(Моргенстерн)
• Agile / Scrum / Kanban

8.
3 лучшие книги про ТМ
8

9.
9

10.
10
Какие инструменты
используете для
управления задачами
и TM, в целом?

11.
11

12.
12
Как CISO понять какие
задачи самые важные?

13.
Inbox Zero 2.0
13
Папки:
• 1. Срочный ответ
• 2. Ждут ответ*
• 3. На контроле
• Архив

14.
• Даже добросовестно выполненное,
но пустяковое дело не перестает
быть пустяковым
• Если на задачу тратится уйма
времени, важности ей это не придает
• Регулярно спрашивайте себя:
«А не х..ню ли я делаю?»
14

15.
Как CISO понять, что он
хорошо делает свою работу?
15

16.
Комитет по ИБ очень полезен для CISO
16

17.
Анализ ИБ со стороны руководства по 27001
17
9.3 Management review
Top management shall review the organization’s
information security management system at planned
intervals to ensure its continuing suitability, adequacy
and effectiveness.
The management review shall include consideration of:
a) the status of actions from previous management
reviews;
b) changes in external and internal issues that are
relevant to the information security management
system;
c) feedback on the information security performance,
including trends in:
1) nonconformities and corrective actions;
2) monitoring and measurement results;
3) audit results; and
4) fulfilment of information security objectives;
d) feedback from interested parties;
e) results of risk assessment and status of risk treatment
plan; and
f) opportunities for continual improvement.
9.3 Анализ со стороны руководства
Высшее руководство должно проводить анализ системы
менеджмента информационной безопасности организации с
запланированной периодичностью, чтобы обеспечить ее
постоянную пригодность, адекватность и результативность.
Анализ со стороны руководства должен включать рассмотрение:
a) статуса действий по итогам предыдущих анализов со стороны
руководства;
b) изменений внешних и внутренних аспектов, касающихся
системы менеджмента информационной безопасности;
c) обратной связи по вопросам эффективности информационной
безопасности, включая тенденции в области:
1) несоответствий и корректирующих действий;
2) результатов мониторинга и измерений;
3) результатов аудитов; и
4) выполнения целей в области информационной
безопасности;
d) мнения заинтересованных сторон;
e) результатов оценки риска и выполнения плана работы с
рисками; и
f) возможностей для постоянного улучшения.

18.
Поделитесь опытом проведения
комитетов по ИБ и/или отчетов
перед руководством
18

19.
19