SlideShare ist ein Scribd-Unternehmen logo

пр Про интегральные метрики ИБ

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация, которую я читал на мероприятии Код ИБ Онлай

Technologie
1 von 30
Downloaden Sie, um offline zu lesen
19-21 ИЮЛЯ 2016 #CODEIB Андрей Прозоров, CISM Руководитель экспертного направления, Solar Security 2016 BLOG TWITTER 80na20.blogspot.com @3DWave Интегральные метрики в ИБ
#CODEIB 2016 Полезные материалы 20 шагов по построению системы измерения ИБ http://80na20.blogspot.ru/2015/11/20.html 10 принципов измерения ИБ http://80na20.blogspot.ru/2015/09/10.html Готовы ли вы измерять ИБ? http://80na20.blogspot.ru/2015/04/blog-post_14.html Проблема терминологии в измерении ИБ http://80na20.blogspot.ru/2015/11/blog-post_19.html Сложности перевода: Effectiveness vs Efficiency http://80na20.blogspot.ru/2014/06/effectiveness-vs-efficiency.html Несколько слайдов про измерение ИБ с конференции VolgaBlob Trend 2015 http://80na20.blogspot.ru/2015/11/volgablob-trend-2015.html И еще несколько неожиданных мыслей про измерение ИБ http://80na20.blogspot.ru/2015/11/blog-post.html Книга про измерение ИТ (ну, и ИБ) http://80na20.blogspot.ru/2015/01/blog-post_12.html Метрики по ITIL http://80na20.blogspot.ru/2016/01/itil.html Метрики по COBIT5 http://80na20.blogspot.ru/2015/11/cobit5.html Книга. Сбалансированная система показателей http://80na20.blogspot.ru/2016/04/blog-post_9.html Майндкарта по ITU-T X.1208 (метрики ИБ) http://80na20.blogspot.ru/2015/08/itu-t-x1208.html Про ISO 27004 http://80na20.blogspot.ru/2012/06/iso-27004.html
#CODEIB 2016 О чем эта презентация? 1. Опять про измерения в ИБ 2. Суть интегральных метрик
#CODEIB 2016 По ISO 27001-2013 4.4 СУИБ: Организация должна разработать, внедрить, поддерживать и постоянно совершенствовать СУИБ. 5.2 Политика: Высшее руководство должно разработать политику информационной безопасности, которая … d) включает в себя обязательства по постоянному улучшению СУИБ. 10.2 Постоянное улучшение: Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.
#CODEIB 2016 По СТО БР ИББС 1.0-2014 5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов: — планирование СОИБ организации БС РФ (“планирование”); — реализация СОИБ организации БС РФ (“реализация”); — мониторинг и анализ СОИБ организации БС РФ (“проверка”); — поддержка и улучшение СОИБ организации БС РФ (“совершенствование”). Указанные группы процессов составляют СМИБ организации БС РФ. 8.1.5. Группа процессов “совершенствование” включает в себя деятельность по принятию решений о реализации тактических и (или) стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к этапу “совершенствование”, реализуется только тогда, когда выполнение процессов этапа “проверка” дало результат, требующий совершенствования СОИБ. При этом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групп процессов “реализация” и при необходимости “планирование”. Пример первой ситуации — введение в действие существующего плана обеспечения непрерывности бизнеса, поскольку на стадии “проверка” определена необходимость в этом. Пример второй ситуации — идентификация новой угрозы и последующее обновление оценки рисков на стадии “планирование”. При этом важно, чтобы все заинтересованные стороны немедленно извещались о про- водимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение. Организация БС РФ должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
#CODEIB 2016 Зачем все это? • Контроль ИБ: • Аудит ИБ • Измерение ИБ • Изменение угроз/рисков (и допустимого уровня рисков) • Произошедшие инциденты • Новые требования • Прочие изменения в контексте ИБ Совершенствование ИБ
#CODEIB 2016 Все руководители ИБ так или иначе придут к измерениям ИБ: •Требования руководства •Требования регуляторов •Ориентир на «лучшие практики» •Просто здравый смысл (контроль и повышение результативности)
#CODEIB 2016 Измерение по ISO 27001 9.1 Мониторинг, измерение, анализ и оценка Организация должна оценивать состояние информационной безопасности и результативность СУИБ. Организация должна определить: a) что необходимо отслеживать и измерять, в том числе процессы информационной безопасности и элементы управления; b) методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов; ПРИМЕЧАНИЕ Выбранные методы должны производить сопоставимые и воспроизводимые результаты, которые будут достоверными. c) когда должны проводиться действия по мониторингу и измерениям; d) кто должен осуществлять мониторинг и измерения; e) когда результаты мониторинга и измерений должны быть проанализированы и оценены; f) кто должен анализировать и оценивать эти результаты. Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений
#CODEIB 2016 • Проверка (Validate). Производится для контроля выполнения предыдущего решения. • Направление (Direct). Производится для задания направление приложения усилий. • Оправдание (Justify). Производится с целью подтверждения того, что изменение/совершенствование необходимо. • Вмешательство (Intervene). Производится для определения "точки вмешательства" для последующих изменений и корректирующих действий. По сути, измерять необходимо для того, чтобы своевременно выявлять тенденции и реагировать на них. Причина измерений по ITIL
#CODEIB 2016 Варианты измерений№ Измерение ИБ Глобальная цель Потребитель 1 Уровень рисков ИБ Определить приоритеты ИБ CISO 2 Метрики контролей (доменов ИБ) Выявить отклонения в нормальной работе ИБ, определить области ИБ для совершенствования CISO 3 Метрики процессов ИБ Выявить отклонения в нормальной работе процессов ИБ, определить приоритеты по их совершенствованию CISO, CIO 4 Процент выполненных мер (compliance) Комплексно оценить состояние ИБ, отчитаться о выполнении требований CISO, Legal, Internal Auditor, Compliance officer, Regulators 5 Уровень ИБ (самооценка) Понять текущее состояние ИБ CISO, Compliance officer, Regulators 6 Уровень зрелости процессов ИБ Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию CISO, CIO, CEO 7 Уровень возможностей процессов ИБ Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию CISO, CIO, CEO 8 Количество инцидентов ИБ Понять актуальность угроз ИБ и отчитаться об инцидентах CISO, Compliance officer, Regulators 9 Ущерб от инцидентов Количественно оценить ущерб от произошедших инцидентов CISO, CFO, CEO 10 Экономика проектов ИБ Выбрать оптимальное решение CISO, CIO, CFO, CEO 11 Показатели проектов ИБ Контролировать реализацию проектов ИБ CISO, CIO, PM 12 Выгоды для бизнеса (оптимизация операционных рисков, оптимизация ресурсов, прочие выгоды) Обосновать бюджеты ИБ CISO, CFO, CEO, CTO, COO
#CODEIB 2016 По ITIL (CSI) Результаты улучшений (постоянное совершенствование) обычно определяется в следующих терминах: 1. Улучшения (Improvements). Результаты, которые при сравнении предыдущим состоянием могут показать увеличение желаемой или уменьшение нежеланной метрики. 2. Выгоды (Benefits). Результаты, достигнутые в результате реализации улучшений, обычно, но не всегда, выраженные в финансовых терминах. 3. ROI (Return on Investment, возврат инвестиций). Разница между выгодой, полученной от улучшения, и затратами на его реализацию, выраженное в процентах. 4. VOI (Value on Investment, добавленная ценность от инвестиций). Дополнительная ценность, включающая дополнительно нематериальные выгоды и долгосрочные преимуществами. ROI является частью VOI.
#CODEIB 2016 «Кланы измерителей» ИБ Benefits/ROI/VOI Improvements
#CODEIB 2016 Сравнение подходов Benefits/ROI/VOI Improvements Что это? «Метрики денег» «Метрики результативности» В чем суть? Контроль соотношение затрат и получаемых выгод Контроль (изменения) состояния Для кого? Для бизнеса Для ИБ / ИТ Особенность применения Кейсы Системный и комплексный подход Методологи CBA, TCO, ROI, NPV, IRR, P&L, ALE, EVA, TVO, TEI, расчет ущерба от инцидентов, расходы на ИБ… ITU-T X.1208, NIST SP 800-55 rev.1, ISO 27004, COBIT5, ITIL, BSC, ISO 15504… Автоматизация Обычно Excel Обычно специализированная система (BI), но можно и Excel Основные плюсы Завязка на деньги, это более понятно для бизнеса Контроль сложных систем и быстрое реагирование; Удобно для больших распределенных систем; Завязано на отчеты СЗИ, из-за этого проще автоматизировать Сложности Количественная оценка выгод; Выравнивание оценки с методологиями, принятыми в компании Выбор метрик и показателей, границ и коэффициентов для верхнеуровневых показателей; Обоснование перед руководством А "Риски" где?
#CODEIB 2016 Метрики и домены ITU-T X.1208 NIST SP 800-55 rev.1 ISO 27004-2009 CIS Security Metrics v1.1.0 Forrester 1. Vulnerability management 2. Audit log maintenance 3. Incident response 4. Mean time to mitigate vulnerabilities 5. Security patch program deployment 6. Mean time to patch 7. Mean time to complete a configuration change 8. Risk assessment coverage 9. Malware detection and treatment program coverage 10. Contingency planning coverage 11. Security assessment 12. Security pledge 13. Remote access control with security gateway 14. Remote access control with security function for intrusion prevention or intrusion detection 15. Wireless access control 16. Personnel security 17. Personally identifiable information (PII) protection 18. Back-up data protection 19. Certified security management system (e.g., ISMS) coverage 20. Secure server deployment 21. Spam receipt ratio 22. Organization's awareness programme 23. Security training and education 24. Cybersecurity role and responsibility 25. Malware infection 26. Personally identifiable information leakage 27. Security budget as a percentage of ICT budget 28. Ratio of authorized device 29. Ratio of authorized software 30. Application software security 1. Security Budget 2. Vulnerability 3. Remote Access Control 4. Security Training 5. Audit Record Review 6. C&A Completion 7. Configuration Changes 8. Contingency Plan Testing 9. User Accounts 10.Incident Response 11.Maintenance 12.Media Sanitization 13.Physical Security Incidents 14.Planning 15.Personnel Security Screening 16.Risk Assessment Vulnerability 17.Service Acquisition Contract 18.System and Communication Protection 19.System and Information Integrity 1. ISMS Training 2. Password Policies 3. ISMS Review Process 4. ISMS Continual Improvement Information Security Incident Management 5. Management Commitment 6. Protection Against Malicious Code 7. Physical Entry Controls 8. Log Files Review 9. Management of Periodic Maintenance 10.Security in Third Party Agreements 1. Incident Management 2. Vulnerability Management 3. Patch Management 4. Configuration Management 5. Change Management 6. Application Security 7. Financial Metrics 8. Future Functions 1. Business Continuity 2. Security Configuration Management 3. Identity Management 4. Incident Response 5. Security Awareness
#CODEIB 2016 Метрики и домены ITU-T X.1208 NIST SP 800-55 rev.1 ISO 27004-2009 CIS Security Metrics v1.1.0 Forrester 1. Vulnerability management 2. Audit log maintenance 3. Incident response 4. Mean time to mitigate vulnerabilities 5. Security patch program deployment 6. Mean time to patch 7. Mean time to complete a configuration change 8. Risk assessment coverage 9. Malware detection and treatment program coverage 10. Contingency planning coverage 11. Security assessment 12. Security pledge 13. Remote access control with security gateway 14. Remote access control with security function for intrusion prevention or intrusion detection 15. Wireless access control 16. Personnel security 17. Personally identifiable information (PII) protection 18. Back-up data protection 19. Certified security management system (e.g., ISMS) coverage 20. Secure server deployment 21. Spam receipt ratio 22. Organization's awareness programme 23. Security training and education 24. Cybersecurity role and responsibility 25. Malware infection 26. Personally identifiable information leakage 27. Security budget as a percentage of ICT budget 28. Ratio of authorized device 29. Ratio of authorized software 30. Application software security 1. Security Budget 2. Vulnerability 3. Remote Access Control 4. Security Training 5. Audit Record Review 6. C&A Completion 7. Configuration Changes 8. Contingency Plan Testing 9. User Accounts 10.Incident Response 11.Maintenance 12.Media Sanitization 13.Physical Security Incidents 14.Planning 15.Personnel Security Screening 16.Risk Assessment Vulnerability 17.Service Acquisition Contract 18.System and Communication Protection 19.System and Information Integrity 1. ISMS Training 2. Password Policies 3. ISMS Review Process 4. ISMS Continual Improvement Information Security Incident Management 5. Management Commitment 6. Protection Against Malicious Code 7. Physical Entry Controls 8. Log Files Review 9. Management of Periodic Maintenance 10.Security in Third Party Agreements 1. Incident Management 2. Vulnerability Management 3. Patch Management 4. Configuration Management 5. Change Management 6. Application Security 7. Financial Metrics 8. Future Functions 1. Business Continuity 2. Security Configuration Management 3. Identity Management 4. Incident Response 5. Security Awareness 1. Почему такие наборы? 2. Примеров мало, очень мало 3. Не все домены (не комплексно) 4. Есть «любимые» метрики/домены 5. В основном технические метрики 6. А что показывать руководству?
#CODEIB 2016 Как это было в 2010 г.
#CODEIB 2016 Как это было в 2010 г. • Сложно собирать данные и их анализировать • Они не нужны руководству
#CODEIB 2016 Интегральные метрики (сбалансированная карта показателей) – инструмент целеполагания и контроля, основанный на некотором наборе измеримых целей и соответствующих им показателей (KPI), характеризующих различные аспекты состояния объекта управления. Интегральные метрики позволяют наглядно отобразить прогресс в достижении различных целей, характеризуемых произвольным набором метрик. Суть: пирамида метрик и показателей (обычно 3-4 уровня).
#CODEIB 2016 Степень эффективности управления инцидентами Степень защищенности ресурсов … Степень уязвимости ресурсов Степень защищенности активов от вредоносного ПО % хостов с активным антивирусным ПО % устраненного вредоносного ПО … % хостов с критичными уязвимостями Среднее время устранения критичных уязвимостей … % критичных инцидентов в единицу времени % инцидентов, не разрешенных вовремя … «Сырые»данныеотисточников Показатели 1 уровня Показатели 2 уровня Показатели 3 уровня Степень соответствия внутренним требованиям по ИБ Соблюдение трудовой дисциплины
#CODEIB 2016 Примеры верх.показателей 1. Общий уровень защищенности (%, цель - 100%) 2. Защищенность критичных ИС (%, цель - 100%) 3. Соответствие внутренним требованиям ИБ (%, цель - 100%) 4. Соблюдение политики допустимого использования (%, цель - 100%) 5. Соблюдение трудовой дисциплины (%, цель - 100%) 6. Защищенность Endpoint (%, цель - 100%) 7. Динамика инцидентов ИБ (% и направление, цель – снижение на Х%) 8. Выполнение поручений Комитета по ИБ (%, цель - 100%) 9. Соблюдение SLA/OLA (%, цель - 100%) 10. … На самом деле Целевой показатель обычно выбирается меньше 100%, например 90%. «Уровень риска» обычно не выбирают в качестве показателя (не хватает данных по ущербу)
#CODEIB 2016 Группы показателей 2го уровня • Процедура управления инцидентами • Инциденты по типам • Управление уязвимостями • Контроль конфигураций • Контроль доступа и Парольная политика • Резервное копирование • Повышение осведомленности (Awareness) • Физическая безопасность • Управление изменениями • Управление уровнем услуг • Управление документами по ИБ • Контроль мобильных устройств • Внутренний аудит • DLP • АВЗ • …
#CODEIB 2016 Источники данных • Risk assessment results • Asset management systems • Configuration management systems • Patch management systems • Network scanning tools • Change-control tracking system • Security event management systems • Security incident management systems • Incident reports • Application tracking systems • Penetration testing results • Customer relationship management • Financial management systems • Published budgets • Identity and access management • Internal and/or external audit reports • Questionnaires and personal interviews • Social engineering resistance testing results • Security awareness training result • … Чаще всего: АВЗ, VM и PC, DLP, WEB-фильтры, ITSM-системы (CMDB, SD), кадровые системы, СКУД, отдельные Excel и пр.
#CODEIB 2016 Если не знаете, что измерять, то ориентируйтесь на вот это: • Compliance (Соответствие требованиям): Парольная политика, АВЗ, Допустимое использование ресурсов, Awareness и пр. • Coverage (Охват) Метрики надо выбирать под себя
#CODEIB 2016 Рекомендации • Верхнеуровневые показатели стараются выбирают в одной единице измерения, обычно «%», и одним целевым направлением (например, для всех «рост») • Необходимо определить граничные значения (зеленая, желтая и красная зоны) • Необходимо определить желаемое (целевое) значение • Желательно указывать динамику (и предыдущее значение) • Коэффициенты желательно определять методом Делфи • Для верхнеуровневых показателей используют или «взвешенное среднее арифметическое» или «произведение» Вариант 1: 67% Вариант 2: 12%
#CODEIB 2016 «+» «-» 1. Относительно не сложно автоматизировать 2. Можно начинать с простых метрик и СЗИ (то, что уже есть) 3. Удобный (и наглядный) контроль. Можно все метрики и показатели свести к небольшому числу верхнеуровневых показателей 4. Большая гибкость при построении системы метрик и показателей 5. Может совмещать различные подходы и модели оценки 1. Да, это похоже на «шаманство». 2. Сложно первоначально выбрать перечень метрик и показателей 3. Результаты могут быть не понятны / не нужны руководству 4. Excel конечно же упростит сбор и анализ данных, но придется задуматься о более специализированных средствах 5. Не для всех метрик можно автоматизировать их сбор
#CODEIB 2016 Визуализация данных
#CODEIB 2016 Шаги по построению системы 1. Решить, что готовы к измерению ИБ 2. Определить заинтересованных лиц и их ожидания 3. Определить перечень внутренних и внешних требований 4. Определить цели измерений ИБ 5. Определить перечень возможных источников данных 6. Определить группы (домены) метрик и показателей 7. Определить перечень метрик и показателей 8. Определить перечень интегральных показателей 9. Определитель средние значения метрик и показателей для вашей отрасли 10. Определить граничные значения показателей 11. Попробовать собрать результаты измерений 12. Пересмотреть систему метрик и показателей 13. Еще раз попробовать собрать результаты измерений 14. Провести анализ представленных данных 15. Пересмотреть граничные значения показателей 16. Представить результаты заинтересованным лицам 17. Принять управленческое решение по результатам анализа (при необходимости) 18. Окончательно утвердить перечень метрик и показателей, граничные и целевые значения 19. Утвердить периодичность оценки и формат представления данных 20. Регулярно пересматривать и совершенствовать систему измерения ИБ
#CODEIB 2016 Принципы измерения 1. «Нет» измерениям ради измерений 2. Экономическая целесообразность 3. Необходимая точность 4. «Лучшие практики» лишь ориентир 5. Измерение ИБ – это процесс 6. Системный и комплексный подход 7. Иерархия метрик 8. Границы допустимого 9. Максимальная автоматизация 10. Визуализация результатов Группа принципов Описание Номера Принципы результативности Помогают правильно производить измерения № 4, 5, 6 Принципы эффективности Помогают рационально использовать ресурсы № 2, 3, 9, 10 Принципы ценности Помогают получать значимые результаты № 1, 7, 8 http://80na20.blogspot.ru/2015/09/10.html
#CODEIB 2016 «Греховное» поведение "Греховное" поведение [при измерениях] по BPM CBOK 3.0: • Тщеславие. Использование измерений исключительно для того, чтобы выставить компанию, ее сотрудников и особенно менеджеров в лучшем свете. Так как бонусы и вознаграждения обычно завязаны на показатели эффективности, руководители ожидают благоприятных метрик. Реальная картина эффективности организации воспринимается скорее как угроза, чем как информация для корректирующих действий. • Провинциальность. Функциональные подразделения диктуют только те метрики, которые их руководители могут контролировать (эффективность процессов подразделений затмевает кросс- функциональную процессную эффективность) • Нарциссизм. Измерение с позиции внутреннего наблюдателя (inside-out), а не клиента (outside-out). • Лень. Уверенность, что уже и так известно, что именно надо измерять, без приложения усилия и адекватного осмысления. • Мелочность. Измерение только малой части того, что действительно имеет значение. • Глупость. Ввод метрик без обдумывания их влияния на поведение людей и, следовательно, на эффективность предприятия. • Легкомысленность. Несерьезное отношение к измерениям, споры о метриках, поиск оправданий низкой эффективности и способов переложить вину на других.
СПАСИБО ЗА ВНИМАНИЕ! ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ #CODEIB 19-21 ИЮЛЯ 2016 BLOG TWITTER 80na20.blogspot.com @3DWave EMAIL prozorov.info@gmail.com Андрей Прозоров, CISM Руководитель экспертного направления, Solar Security 2016

Empfohlen

пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Empfohlen

пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012Евгений Родыгин
 
пр Принципы измерения ИБ
пр Принципы измерения ИБпр Принципы измерения ИБ
пр Принципы измерения ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииПро аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOCAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндексjido111222
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Weitere ähnliche Inhalte

Was ist angesagt?

Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерAlexey Evmenkov
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндексjido111222
 

Was ist angesagt? (20)

пр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентовпр Про развитие в ИБ для студентов
пр Про развитие в ИБ для студентов
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
About TM for CISO (rus)
About TM for CISO (rus)About TM for CISO (rus)
About TM for CISO (rus)
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 
Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)Кратко про тенденции ИБ к обсуждению (Код ИБ)
Кратко про тенденции ИБ к обсуждению (Код ИБ)
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от ЯндексМониторинг рынка труда IT-специалистов 2016 от Яндекс
Мониторинг рынка труда IT-специалистов 2016 от Яндекс
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 

Andere mochten auch

пр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютпр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБSolar Security
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Iso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guideIso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guidemfmurat
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Andere mochten auch (13)

пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работаютпр Инструменты Тайм-менеджмента, которые работают
пр Инструменты Тайм-менеджмента, которые работают
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 
10 принципов измерения ИБ
10 принципов измерения ИБ10 принципов измерения ИБ
10 принципов измерения ИБ
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Iso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guideIso 27001 metrics and implementation guide
Iso 27001 metrics and implementation guide
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр Импортозамещение в ИБ
пр Импортозамещение в ИБпр Импортозамещение в ИБ
пр Импортозамещение в ИБ
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 

Ähnlich wie пр Про интегральные метрики ИБ

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Aleksey Lukatskiy
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасностьInfoWatch
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxghdffds
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Expolink
 
МC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDFМC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDFPavel V.
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the EnterpriseSergey Soldatov
 
ISM Revision: Audit Manager
ISM Revision: Audit ManagerISM Revision: Audit Manager
ISM Revision: Audit Managerismsys
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Risk Methodologies. PM Zone. Kharkov. Ukraine
Risk Methodologies. PM Zone. Kharkov. UkraineRisk Methodologies. PM Zone. Kharkov. Ukraine
Risk Methodologies. PM Zone. Kharkov. UkraineSergiy Povolyashko
 
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиIFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиInternational Federation of Accountants
 

Ähnlich wie пр Про интегральные метрики ИБ (20)

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
Solar Security. Андрей Прозоров. "5 "почему" аутсорсинга ИБ"
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
МC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDFМC & BC - Coordination v2 PDF
МC & BC - Coordination v2 PDF
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Infosecurity management in the Enterprise
Infosecurity management in the EnterpriseInfosecurity management in the Enterprise
Infosecurity management in the Enterprise
 
ISM Revision: Audit Manager
ISM Revision: Audit ManagerISM Revision: Audit Manager
ISM Revision: Audit Manager
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Risk Methodologies. PM Zone. Kharkov. Ukraine
Risk Methodologies. PM Zone. Kharkov. UkraineRisk Methodologies. PM Zone. Kharkov. Ukraine
Risk Methodologies. PM Zone. Kharkov. Ukraine
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниямиIFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
IFAC и Всемирный банк Global Quality Management PAO Обмен знаниями
 
Risk_methodologies
Risk_methodologiesRisk_methodologies
Risk_methodologies
 

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Mehr von Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

пр Про интегральные метрики ИБ

  • 1. 19-21 ИЮЛЯ 2016 #CODEIB Андрей Прозоров, CISM Руководитель экспертного направления, Solar Security 2016 BLOG TWITTER 80na20.blogspot.com @3DWave Интегральные метрики в ИБ
  • 2. #CODEIB 2016 Полезные материалы 20 шагов по построению системы измерения ИБ http://80na20.blogspot.ru/2015/11/20.html 10 принципов измерения ИБ http://80na20.blogspot.ru/2015/09/10.html Готовы ли вы измерять ИБ? http://80na20.blogspot.ru/2015/04/blog-post_14.html Проблема терминологии в измерении ИБ http://80na20.blogspot.ru/2015/11/blog-post_19.html Сложности перевода: Effectiveness vs Efficiency http://80na20.blogspot.ru/2014/06/effectiveness-vs-efficiency.html Несколько слайдов про измерение ИБ с конференции VolgaBlob Trend 2015 http://80na20.blogspot.ru/2015/11/volgablob-trend-2015.html И еще несколько неожиданных мыслей про измерение ИБ http://80na20.blogspot.ru/2015/11/blog-post.html Книга про измерение ИТ (ну, и ИБ) http://80na20.blogspot.ru/2015/01/blog-post_12.html Метрики по ITIL http://80na20.blogspot.ru/2016/01/itil.html Метрики по COBIT5 http://80na20.blogspot.ru/2015/11/cobit5.html Книга. Сбалансированная система показателей http://80na20.blogspot.ru/2016/04/blog-post_9.html Майндкарта по ITU-T X.1208 (метрики ИБ) http://80na20.blogspot.ru/2015/08/itu-t-x1208.html Про ISO 27004 http://80na20.blogspot.ru/2012/06/iso-27004.html
  • 3. #CODEIB 2016 О чем эта презентация? 1. Опять про измерения в ИБ 2. Суть интегральных метрик
  • 4. #CODEIB 2016 По ISO 27001-2013 4.4 СУИБ: Организация должна разработать, внедрить, поддерживать и постоянно совершенствовать СУИБ. 5.2 Политика: Высшее руководство должно разработать политику информационной безопасности, которая … d) включает в себя обязательства по постоянному улучшению СУИБ. 10.2 Постоянное улучшение: Организация должна постоянно улучшать пригодность, адекватность и результативность СУИБ.
  • 5. #CODEIB 2016 По СТО БР ИББС 1.0-2014 5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов: — планирование СОИБ организации БС РФ (“планирование”); — реализация СОИБ организации БС РФ (“реализация”); — мониторинг и анализ СОИБ организации БС РФ (“проверка”); — поддержка и улучшение СОИБ организации БС РФ (“совершенствование”). Указанные группы процессов составляют СМИБ организации БС РФ. 8.1.5. Группа процессов “совершенствование” включает в себя деятельность по принятию решений о реализации тактических и (или) стратегических улучшений СОИБ. Указанная деятельность, т.е. переход к этапу “совершенствование”, реализуется только тогда, когда выполнение процессов этапа “проверка” дало результат, требующий совершенствования СОИБ. При этом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групп процессов “реализация” и при необходимости “планирование”. Пример первой ситуации — введение в действие существующего плана обеспечения непрерывности бизнеса, поскольку на стадии “проверка” определена необходимость в этом. Пример второй ситуации — идентификация новой угрозы и последующее обновление оценки рисков на стадии “планирование”. При этом важно, чтобы все заинтересованные стороны немедленно извещались о про- водимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение. Организация БС РФ должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
  • 6. #CODEIB 2016 Зачем все это? • Контроль ИБ: • Аудит ИБ • Измерение ИБ • Изменение угроз/рисков (и допустимого уровня рисков) • Произошедшие инциденты • Новые требования • Прочие изменения в контексте ИБ Совершенствование ИБ
  • 7. #CODEIB 2016 Все руководители ИБ так или иначе придут к измерениям ИБ: •Требования руководства •Требования регуляторов •Ориентир на «лучшие практики» •Просто здравый смысл (контроль и повышение результативности)
  • 8. #CODEIB 2016 Измерение по ISO 27001 9.1 Мониторинг, измерение, анализ и оценка Организация должна оценивать состояние информационной безопасности и результативность СУИБ. Организация должна определить: a) что необходимо отслеживать и измерять, в том числе процессы информационной безопасности и элементы управления; b) методы мониторинга, измерения, анализа и оценки, в зависимости от обстоятельств, в целях обеспечения достоверных результатов; ПРИМЕЧАНИЕ Выбранные методы должны производить сопоставимые и воспроизводимые результаты, которые будут достоверными. c) когда должны проводиться действия по мониторингу и измерениям; d) кто должен осуществлять мониторинг и измерения; e) когда результаты мониторинга и измерений должны быть проанализированы и оценены; f) кто должен анализировать и оценивать эти результаты. Организация должна сохранять соответствующую документированную информацию в качестве подтверждения результатов мониторинга и измерений
  • 9. #CODEIB 2016 • Проверка (Validate). Производится для контроля выполнения предыдущего решения. • Направление (Direct). Производится для задания направление приложения усилий. • Оправдание (Justify). Производится с целью подтверждения того, что изменение/совершенствование необходимо. • Вмешательство (Intervene). Производится для определения "точки вмешательства" для последующих изменений и корректирующих действий. По сути, измерять необходимо для того, чтобы своевременно выявлять тенденции и реагировать на них. Причина измерений по ITIL
  • 10. #CODEIB 2016 Варианты измерений№ Измерение ИБ Глобальная цель Потребитель 1 Уровень рисков ИБ Определить приоритеты ИБ CISO 2 Метрики контролей (доменов ИБ) Выявить отклонения в нормальной работе ИБ, определить области ИБ для совершенствования CISO 3 Метрики процессов ИБ Выявить отклонения в нормальной работе процессов ИБ, определить приоритеты по их совершенствованию CISO, CIO 4 Процент выполненных мер (compliance) Комплексно оценить состояние ИБ, отчитаться о выполнении требований CISO, Legal, Internal Auditor, Compliance officer, Regulators 5 Уровень ИБ (самооценка) Понять текущее состояние ИБ CISO, Compliance officer, Regulators 6 Уровень зрелости процессов ИБ Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию CISO, CIO, CEO 7 Уровень возможностей процессов ИБ Оценить текущий уровень процессов ИБ, определить приоритеты по их совершенствованию CISO, CIO, CEO 8 Количество инцидентов ИБ Понять актуальность угроз ИБ и отчитаться об инцидентах CISO, Compliance officer, Regulators 9 Ущерб от инцидентов Количественно оценить ущерб от произошедших инцидентов CISO, CFO, CEO 10 Экономика проектов ИБ Выбрать оптимальное решение CISO, CIO, CFO, CEO 11 Показатели проектов ИБ Контролировать реализацию проектов ИБ CISO, CIO, PM 12 Выгоды для бизнеса (оптимизация операционных рисков, оптимизация ресурсов, прочие выгоды) Обосновать бюджеты ИБ CISO, CFO, CEO, CTO, COO
  • 11. #CODEIB 2016 По ITIL (CSI) Результаты улучшений (постоянное совершенствование) обычно определяется в следующих терминах: 1. Улучшения (Improvements). Результаты, которые при сравнении предыдущим состоянием могут показать увеличение желаемой или уменьшение нежеланной метрики. 2. Выгоды (Benefits). Результаты, достигнутые в результате реализации улучшений, обычно, но не всегда, выраженные в финансовых терминах. 3. ROI (Return on Investment, возврат инвестиций). Разница между выгодой, полученной от улучшения, и затратами на его реализацию, выраженное в процентах. 4. VOI (Value on Investment, добавленная ценность от инвестиций). Дополнительная ценность, включающая дополнительно нематериальные выгоды и долгосрочные преимуществами. ROI является частью VOI.
  • 12. #CODEIB 2016 «Кланы измерителей» ИБ Benefits/ROI/VOI Improvements
  • 13. #CODEIB 2016 Сравнение подходов Benefits/ROI/VOI Improvements Что это? «Метрики денег» «Метрики результативности» В чем суть? Контроль соотношение затрат и получаемых выгод Контроль (изменения) состояния Для кого? Для бизнеса Для ИБ / ИТ Особенность применения Кейсы Системный и комплексный подход Методологи CBA, TCO, ROI, NPV, IRR, P&L, ALE, EVA, TVO, TEI, расчет ущерба от инцидентов, расходы на ИБ… ITU-T X.1208, NIST SP 800-55 rev.1, ISO 27004, COBIT5, ITIL, BSC, ISO 15504… Автоматизация Обычно Excel Обычно специализированная система (BI), но можно и Excel Основные плюсы Завязка на деньги, это более понятно для бизнеса Контроль сложных систем и быстрое реагирование; Удобно для больших распределенных систем; Завязано на отчеты СЗИ, из-за этого проще автоматизировать Сложности Количественная оценка выгод; Выравнивание оценки с методологиями, принятыми в компании Выбор метрик и показателей, границ и коэффициентов для верхнеуровневых показателей; Обоснование перед руководством А "Риски" где?
  • 14. #CODEIB 2016 Метрики и домены ITU-T X.1208 NIST SP 800-55 rev.1 ISO 27004-2009 CIS Security Metrics v1.1.0 Forrester 1. Vulnerability management 2. Audit log maintenance 3. Incident response 4. Mean time to mitigate vulnerabilities 5. Security patch program deployment 6. Mean time to patch 7. Mean time to complete a configuration change 8. Risk assessment coverage 9. Malware detection and treatment program coverage 10. Contingency planning coverage 11. Security assessment 12. Security pledge 13. Remote access control with security gateway 14. Remote access control with security function for intrusion prevention or intrusion detection 15. Wireless access control 16. Personnel security 17. Personally identifiable information (PII) protection 18. Back-up data protection 19. Certified security management system (e.g., ISMS) coverage 20. Secure server deployment 21. Spam receipt ratio 22. Organization's awareness programme 23. Security training and education 24. Cybersecurity role and responsibility 25. Malware infection 26. Personally identifiable information leakage 27. Security budget as a percentage of ICT budget 28. Ratio of authorized device 29. Ratio of authorized software 30. Application software security 1. Security Budget 2. Vulnerability 3. Remote Access Control 4. Security Training 5. Audit Record Review 6. C&A Completion 7. Configuration Changes 8. Contingency Plan Testing 9. User Accounts 10.Incident Response 11.Maintenance 12.Media Sanitization 13.Physical Security Incidents 14.Planning 15.Personnel Security Screening 16.Risk Assessment Vulnerability 17.Service Acquisition Contract 18.System and Communication Protection 19.System and Information Integrity 1. ISMS Training 2. Password Policies 3. ISMS Review Process 4. ISMS Continual Improvement Information Security Incident Management 5. Management Commitment 6. Protection Against Malicious Code 7. Physical Entry Controls 8. Log Files Review 9. Management of Periodic Maintenance 10.Security in Third Party Agreements 1. Incident Management 2. Vulnerability Management 3. Patch Management 4. Configuration Management 5. Change Management 6. Application Security 7. Financial Metrics 8. Future Functions 1. Business Continuity 2. Security Configuration Management 3. Identity Management 4. Incident Response 5. Security Awareness
  • 15. #CODEIB 2016 Метрики и домены ITU-T X.1208 NIST SP 800-55 rev.1 ISO 27004-2009 CIS Security Metrics v1.1.0 Forrester 1. Vulnerability management 2. Audit log maintenance 3. Incident response 4. Mean time to mitigate vulnerabilities 5. Security patch program deployment 6. Mean time to patch 7. Mean time to complete a configuration change 8. Risk assessment coverage 9. Malware detection and treatment program coverage 10. Contingency planning coverage 11. Security assessment 12. Security pledge 13. Remote access control with security gateway 14. Remote access control with security function for intrusion prevention or intrusion detection 15. Wireless access control 16. Personnel security 17. Personally identifiable information (PII) protection 18. Back-up data protection 19. Certified security management system (e.g., ISMS) coverage 20. Secure server deployment 21. Spam receipt ratio 22. Organization's awareness programme 23. Security training and education 24. Cybersecurity role and responsibility 25. Malware infection 26. Personally identifiable information leakage 27. Security budget as a percentage of ICT budget 28. Ratio of authorized device 29. Ratio of authorized software 30. Application software security 1. Security Budget 2. Vulnerability 3. Remote Access Control 4. Security Training 5. Audit Record Review 6. C&A Completion 7. Configuration Changes 8. Contingency Plan Testing 9. User Accounts 10.Incident Response 11.Maintenance 12.Media Sanitization 13.Physical Security Incidents 14.Planning 15.Personnel Security Screening 16.Risk Assessment Vulnerability 17.Service Acquisition Contract 18.System and Communication Protection 19.System and Information Integrity 1. ISMS Training 2. Password Policies 3. ISMS Review Process 4. ISMS Continual Improvement Information Security Incident Management 5. Management Commitment 6. Protection Against Malicious Code 7. Physical Entry Controls 8. Log Files Review 9. Management of Periodic Maintenance 10.Security in Third Party Agreements 1. Incident Management 2. Vulnerability Management 3. Patch Management 4. Configuration Management 5. Change Management 6. Application Security 7. Financial Metrics 8. Future Functions 1. Business Continuity 2. Security Configuration Management 3. Identity Management 4. Incident Response 5. Security Awareness 1. Почему такие наборы? 2. Примеров мало, очень мало 3. Не все домены (не комплексно) 4. Есть «любимые» метрики/домены 5. В основном технические метрики 6. А что показывать руководству?
  • 16. #CODEIB 2016 Как это было в 2010 г.
  • 17. #CODEIB 2016 Как это было в 2010 г. • Сложно собирать данные и их анализировать • Они не нужны руководству
  • 18. #CODEIB 2016 Интегральные метрики (сбалансированная карта показателей) – инструмент целеполагания и контроля, основанный на некотором наборе измеримых целей и соответствующих им показателей (KPI), характеризующих различные аспекты состояния объекта управления. Интегральные метрики позволяют наглядно отобразить прогресс в достижении различных целей, характеризуемых произвольным набором метрик. Суть: пирамида метрик и показателей (обычно 3-4 уровня).
  • 19. #CODEIB 2016 Степень эффективности управления инцидентами Степень защищенности ресурсов … Степень уязвимости ресурсов Степень защищенности активов от вредоносного ПО % хостов с активным антивирусным ПО % устраненного вредоносного ПО … % хостов с критичными уязвимостями Среднее время устранения критичных уязвимостей … % критичных инцидентов в единицу времени % инцидентов, не разрешенных вовремя … «Сырые»данныеотисточников Показатели 1 уровня Показатели 2 уровня Показатели 3 уровня Степень соответствия внутренним требованиям по ИБ Соблюдение трудовой дисциплины
  • 20. #CODEIB 2016 Примеры верх.показателей 1. Общий уровень защищенности (%, цель - 100%) 2. Защищенность критичных ИС (%, цель - 100%) 3. Соответствие внутренним требованиям ИБ (%, цель - 100%) 4. Соблюдение политики допустимого использования (%, цель - 100%) 5. Соблюдение трудовой дисциплины (%, цель - 100%) 6. Защищенность Endpoint (%, цель - 100%) 7. Динамика инцидентов ИБ (% и направление, цель – снижение на Х%) 8. Выполнение поручений Комитета по ИБ (%, цель - 100%) 9. Соблюдение SLA/OLA (%, цель - 100%) 10. … На самом деле Целевой показатель обычно выбирается меньше 100%, например 90%. «Уровень риска» обычно не выбирают в качестве показателя (не хватает данных по ущербу)
  • 21. #CODEIB 2016 Группы показателей 2го уровня • Процедура управления инцидентами • Инциденты по типам • Управление уязвимостями • Контроль конфигураций • Контроль доступа и Парольная политика • Резервное копирование • Повышение осведомленности (Awareness) • Физическая безопасность • Управление изменениями • Управление уровнем услуг • Управление документами по ИБ • Контроль мобильных устройств • Внутренний аудит • DLP • АВЗ • …
  • 22. #CODEIB 2016 Источники данных • Risk assessment results • Asset management systems • Configuration management systems • Patch management systems • Network scanning tools • Change-control tracking system • Security event management systems • Security incident management systems • Incident reports • Application tracking systems • Penetration testing results • Customer relationship management • Financial management systems • Published budgets • Identity and access management • Internal and/or external audit reports • Questionnaires and personal interviews • Social engineering resistance testing results • Security awareness training result • … Чаще всего: АВЗ, VM и PC, DLP, WEB-фильтры, ITSM-системы (CMDB, SD), кадровые системы, СКУД, отдельные Excel и пр.
  • 23. #CODEIB 2016 Если не знаете, что измерять, то ориентируйтесь на вот это: • Compliance (Соответствие требованиям): Парольная политика, АВЗ, Допустимое использование ресурсов, Awareness и пр. • Coverage (Охват) Метрики надо выбирать под себя
  • 24. #CODEIB 2016 Рекомендации • Верхнеуровневые показатели стараются выбирают в одной единице измерения, обычно «%», и одним целевым направлением (например, для всех «рост») • Необходимо определить граничные значения (зеленая, желтая и красная зоны) • Необходимо определить желаемое (целевое) значение • Желательно указывать динамику (и предыдущее значение) • Коэффициенты желательно определять методом Делфи • Для верхнеуровневых показателей используют или «взвешенное среднее арифметическое» или «произведение» Вариант 1: 67% Вариант 2: 12%
  • 25. #CODEIB 2016 «+» «-» 1. Относительно не сложно автоматизировать 2. Можно начинать с простых метрик и СЗИ (то, что уже есть) 3. Удобный (и наглядный) контроль. Можно все метрики и показатели свести к небольшому числу верхнеуровневых показателей 4. Большая гибкость при построении системы метрик и показателей 5. Может совмещать различные подходы и модели оценки 1. Да, это похоже на «шаманство». 2. Сложно первоначально выбрать перечень метрик и показателей 3. Результаты могут быть не понятны / не нужны руководству 4. Excel конечно же упростит сбор и анализ данных, но придется задуматься о более специализированных средствах 5. Не для всех метрик можно автоматизировать их сбор
  • 27. #CODEIB 2016 Шаги по построению системы 1. Решить, что готовы к измерению ИБ 2. Определить заинтересованных лиц и их ожидания 3. Определить перечень внутренних и внешних требований 4. Определить цели измерений ИБ 5. Определить перечень возможных источников данных 6. Определить группы (домены) метрик и показателей 7. Определить перечень метрик и показателей 8. Определить перечень интегральных показателей 9. Определитель средние значения метрик и показателей для вашей отрасли 10. Определить граничные значения показателей 11. Попробовать собрать результаты измерений 12. Пересмотреть систему метрик и показателей 13. Еще раз попробовать собрать результаты измерений 14. Провести анализ представленных данных 15. Пересмотреть граничные значения показателей 16. Представить результаты заинтересованным лицам 17. Принять управленческое решение по результатам анализа (при необходимости) 18. Окончательно утвердить перечень метрик и показателей, граничные и целевые значения 19. Утвердить периодичность оценки и формат представления данных 20. Регулярно пересматривать и совершенствовать систему измерения ИБ
  • 28. #CODEIB 2016 Принципы измерения 1. «Нет» измерениям ради измерений 2. Экономическая целесообразность 3. Необходимая точность 4. «Лучшие практики» лишь ориентир 5. Измерение ИБ – это процесс 6. Системный и комплексный подход 7. Иерархия метрик 8. Границы допустимого 9. Максимальная автоматизация 10. Визуализация результатов Группа принципов Описание Номера Принципы результативности Помогают правильно производить измерения № 4, 5, 6 Принципы эффективности Помогают рационально использовать ресурсы № 2, 3, 9, 10 Принципы ценности Помогают получать значимые результаты № 1, 7, 8 http://80na20.blogspot.ru/2015/09/10.html
  • 29. #CODEIB 2016 «Греховное» поведение "Греховное" поведение [при измерениях] по BPM CBOK 3.0: • Тщеславие. Использование измерений исключительно для того, чтобы выставить компанию, ее сотрудников и особенно менеджеров в лучшем свете. Так как бонусы и вознаграждения обычно завязаны на показатели эффективности, руководители ожидают благоприятных метрик. Реальная картина эффективности организации воспринимается скорее как угроза, чем как информация для корректирующих действий. • Провинциальность. Функциональные подразделения диктуют только те метрики, которые их руководители могут контролировать (эффективность процессов подразделений затмевает кросс- функциональную процессную эффективность) • Нарциссизм. Измерение с позиции внутреннего наблюдателя (inside-out), а не клиента (outside-out). • Лень. Уверенность, что уже и так известно, что именно надо измерять, без приложения усилия и адекватного осмысления. • Мелочность. Измерение только малой части того, что действительно имеет значение. • Глупость. Ввод метрик без обдумывания их влияния на поведение людей и, следовательно, на эффективность предприятия. • Легкомысленность. Несерьезное отношение к измерениям, споры о метриках, поиск оправданий низкой эффективности и способов переложить вину на других.
  • 30. СПАСИБО ЗА ВНИМАНИЕ! ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ #CODEIB 19-21 ИЮЛЯ 2016 BLOG TWITTER 80na20.blogspot.com @3DWave EMAIL prozorov.info@gmail.com Андрей Прозоров, CISM Руководитель экспертного направления, Solar Security 2016