3. Моделирование… не угроз
• Особенности деятельности многих
служб и специалистов ИБ
– Многие процессы в деятельности
служб ИБ носят хаотический и
неструктурированный характер
– Многие проекты в деятельности
служб ИБ не учитывают ни
перспектив, ни общей картины, ни
стратегии развития компании
• Модели
– Структурируют главное
– Позволяют отбросить
второстепенное
– Позволяют по новому взглянуть
на деятельность по ИБ
5. Матрица Эйзенхауэра
• «Самые срочные решения редко
бывают самыми важными»
– Дуайт Эйзенхауэр
• Матрица Эйзенхауэра позволяет
отделить важное от срочного
• Сфера применения
– Приоритезация проектов
– Подписание документов
Важно,
но не
срочно
Важно,
но не
срочно
Срочно и
важно
Срочно и
важно
Не
важно и
не
срочно
Не
важно и
не
срочно
Срочно,
но не
важно
Срочно,
но не
важно
6. Пример матрицы Эйзенхауэра для проектов по ИБ
Обновление лицензии
ФСБ на деятельности в
области шифрования
Обновление лицензии
ФСБ на деятельности в
области шифрования
Защищенный мобильный
доступ руководства к
внутренний
информационной системе
Защищенный мобильный
доступ руководства к
внутренний
информационной системе
Моделирование угроз для
проекта по ПДн
Моделирование угроз для
проекта по ПДн
Обновление антивирусаОбновление антивируса
Не срочно Срочно
ВажноНеважно
8. SWOT-анализ
• Разрыв между планами и
их реализацией обычно
связан не с низкой
компетенцией сотрудников,
а с нечетко поставленными
задачами
• SWOT
– Strengths
– Weaknesses
– Opportunities
– Threats
• Исследования
Стэнфордского
университета в США в 60-х
годах
9. SWOT-анализ
• Решаемые вопросы
– Как максимально использовать сильные стороны и
компенсировать слабые?
– Как максимально использовать возможности?
– Как защититься от рисков?
• Сфера применения
– Оценка проектов по ИБ
– Оценка собственных возможностей в целях карьерного роста
– Оценка продуктов по защите информации
10. Пример SWOT-анализ проекта по созданию VPN-сети
Наличие сетевого
оборудования с функцией
IPSec VPN
Наличие сетевого
оборудования с функцией
IPSec VPN
Конфликт с ИТ в части
эксплуатации средств
защиты
Конфликт с ИТ в части
эксплуатации средств
защиты
Возможность
географической экспансии
и перехода на мобильный
доступ сотрудников
Возможность
географической экспансии
и перехода на мобильный
доступ сотрудников
Сертификация ФСБ
Ввоз СКЗИ
Сертификация ФСБ
Ввоз СКЗИ
VPNVPN
Позитивно Негативно
ВнутриСнаружи
12. Бостонская матрица
• Бостонская консалтинговая группа в 70-х годах разработала
метод, позволяющий оценить ценность портфельных инвестиций
в то или иное предприятие
Темные лошадки
(Проблемные
дети)
Темные лошадки
(Проблемные
дети)
Звезды
(Желанные дети)
Звезды
(Желанные дети)
Собаки
(Мертвый груз)
Собаки
(Мертвый груз)
Дойные коровы
(Денежные
мешки)
Дойные коровы
(Денежные
мешки)
13. Бостонская матрица
• Сфера применение
– Как выбрать наиболее выгодные проекты?
– Как выбрать центры силы в компании, которые могут сказать
«да» проекту по ИБ?
– Как ранжировать угрозы по их ущербу?
19. Что делать многостаночникам?
• Служба ИБ обычно запускает или участвует в множестве
проектов
– Как научиться держать все в поле зрения?
• Матрица управления портфелем проектов позволяет окинуть
взглядом все проекты по ИБ, в контексте разных пар факторов
– Затраты и время
– Достижение бизнес-цели и затраты
– Любые другие комбинации
• Затраты – это не только деньги, но и люди и время
20. Пример: распределение проектов по ИБ
Время
Бизнес-цели
Стратегические
Тактические
Оперативные
БудущееЗапланированныеЗапущенные
DLP
AV
Cloud
FW
Aware-
ness
IDM
SAP
Лицен-
зия
ФСБ 2831-У
21. Пример: оценка риск-аппетита для проектов ИБ
50
25
0
500 100 150 200
ROI, ожидаемый в следующий 5 лет (%)
ВероятностьотрицательногоROI(%)
Инвестиционная граница
Приемлемые инвестиции
Неприемлемые инвестиции
23. А какие у нас цели?
• Прежде чем что-то делать и оценивать достижения, необходимо
понять, определить и зафиксировать цели, к которым мы
стремимся и достижение которых мы измеряем!
– Получение аттестата ФСТЭК на все АС/ИСПДн
– Сертификация ключевых процессов на соответствие ISO 27001
– Достижение 4 уровня по СТО БР ИББС
– Сокращение числа инцидентов ИБ до 3 в месяц
– Внедрение защищенного мобильного доступа для руководства
– Внедрение защищенного удаленного доступа для
географической экспансии
– Повышение устойчивости инфраструктуры к DDoS-атакам с
целью повышения лояльности клиентов и снижение их текучки
– Снижение затрат на ИБ на 15%
24. От простого к сложному: метод выбора целей KISS
• KISS – Keep It Simple,
Stupid!
– Не усложняй,
тупица!
• Цель не должна быть
недостижимой
– У вас не будет
надежды
• Цель должна быть
вызовом
– Иначе не будет
мотивации
25. От простого к сложному: метод выбора целей SMART
• SMART – Specific, Measurable, Achievable, Relevant, Timely
– Как можно конкретнее, без двойных толкований, для правильной
целевой аудитории
– Результат должен быть измеримым, а не эфемерным
– Зачем выбирать цель, которая недостижима?
– Соответствие стратегическим целям, а не «вообще»
– Своевременность и актуальность
26. Пример: SMART-выбор метрик ИБ
Характеристика Пример хорошей метрики Пример плохой метрики
Конкретная Число неудачных попыток
входа в систему в неделю на
одного сотрудника
Число неудачных попыток
входа в систему
Измеримая Уровень лояльности
внутренних клиентов
Доход от внедрения системы
защиты
Достижимая Число инцидентов в текущем
квартале < 5
Отсутствие инцидентов ИБ за
текущий квартал
Релевантная Число проектов по ИБ,
завершенных в срок
Число запущенных проектов
по ИБ
Актуальная Число пропатченных ПК в этом
году
Число пропатченных ПК в
прошлом году
27. От простого к сложному: метод выбора целей SMART-
PURE-CLEAR
• PURE – Positively Stated, Understood, Realistic, Ethical
– Позитивно формулируйте цель
– Цель должна быть понятна целевой аудитории
– Цель должны быть реалистична
– Не забывайте про этику
• CLEAR – Challenging, Legal, Environmentally Sound, Agreed,
Recorded
– Цель содержит вызов?!
– Легальна ли ваша цель?
– Не нарушает экологию?
– Согласована?
– Записана? Запротоколирована?
29. Восприятие инноваций
• В маркетинге есть модель, называемая кривой Роджерса или
кривой восприятия инноваций
• Любая инновация воспринимается не сразу, а постепенно
• Сначала ее начинают применять новаторы, потом ранние
последователи, а уже за ними раннее и позднее большинство
30. Пример применения кривой Роджерса в ИБ
• Посмотрите на кривую Роджерса с точки зрения внедрения в
организации
– BYOD и BYOT
– Облачных вычислений
– Совмещение личного и рабочего
– Новые поставщики услуг – Google.Docs, Dropbox, Apple iCloud,
Facebook
• Вы готовы к их защите или рискам ИБ от них?
33. Потребности человека
• В 1943-м году философ Абрахам
Маслоу опубликовал модель
потребностей человека
– Основные физиологические
потребности (еда, сон, тепло, секс)
– Безопасность (жилье, постоянная
работа, здоровье, защищенность
от опасностей)
– Отношения (друзья, партнеры,
любовь)
– Признание (статус, власть, деньги)
– Самореализация
34. Применение пирамиды Маслоу в ИБ
• Не достигнув нижнего уровня
потребностей, человек не переходит на
следующий
– Зачем мне безопасность, если я
голоден?
• Знание потребностей позволяет понять
и использовать мотивацию человека
– Зачем мне думать об
информационной безопасности, если
я под страхом увольнения?
– Если ты нарушишь политику ИБ, мы
расскажем об этом всем коллегам и
вывесим на «доску почета»…
– Помоги нам с проектом по ИБ и тебя
наградят
37. “Небольшая доля причин, вкладываемых
средств или прилагаемых усилий, отвечает за
большую долю результатов, получаемой
продукции или заработанного
вознаграждения.”
Вильфредо Парето (1848 – 1923)
38. Суть принципа Парето
• Диспропорция является неотъемлемым свойством соотношения
между причинами и результатами, вкладом и возвратом,
усилиями и вознаграждением за них
– Если мы изучим и проанализируем два набора данных,
относящихся к причинам и результатам, то скорее всего получим
картину несбалансированности
– 65/35, 70/30, 75/25, 80/20, 95/5…
• Он опровергает логическое предположение, что все факторы
имеют примерно одинаковое значение
• Принцип 80/20 будет работать всегда и везде, если не прилагать
усилий по его преодолению
39. Принцип Парето в безопасности
• 80% людей совершат НСД, если это не станет известным
• 88% ИТ-специалистов допускают месть работодателю после
своего увольнения
• 20% уязвимостей приводят к 80% всех атак
• Атаки обычно направлены на 95% уязвимостей, для которых уже
существуют способы устранения
• Только 20% функций СЗИ используются на практике
• Стоимость лицензии на систему защиты составляет около 15-
20% от совокупной стоимости владения
• 80% всех защитных механизмов и мер покрываются 20%
стандартов
• 80% стандартов покрывают 20% существующих
потребностей/технологий
40. Не бойтесь российских НПА по ИБ
•Разграничение доступа (+ управление потоками)
•Идентификация / аутентификация
•Межсетевое взаимодействие
•Регистрация действий
•Учет и маркировка носителей (+ очистка памяти)
•Документальное сопровождение
•Физический доступ
•Контроль целостности
•Тестирование безопасности
•Сигнализация и реагирование
•Контроль целостности
•Защита каналов связи
•Обнаружение вторжений
•Антивирусная защита
•BCP
•Защита от утечки по техническим каналам
ОбщиеОбщие
•Защита специфичных процессов (биллинг, АБС, PCI…)
•Защита приложений (Web, СУБД…)
•Нестандартные механизмы (ловушки, стеганография)СпецифичныеСпецифичные
42. Классическая BSC
• Система сбалансированных показателей известна как метод,
позволяющий оценивать предприятие не только с точки зрения
финансовых показателей, а сбалансировать (именно
сбалансированность является ключевым преимуществом данного
подхода) оценку по 4-м направлениям
ЗаказчикЗаказчик ФинансыФинансы
Внутренние процессыВнутренние процессы Обучение и ростОбучение и рост
Базовая BSCБазовая BSC
43. BSC для жизни
• Основная задача BSC – уйти от непонятной и сложно
формализуемой миссии компании в сторону конкретных,
измеряемых и достижимых целей
– При этом баланс заключается не только в оценке материальных
и нематериальных активов, но и в оценке текущей деятельности
и будущих перспектив, которые и позволяют компаниям
развиваться в конкурентной среде, а не стоять на месте
• В последние годы ряд экспертов, внедрявших BSC на
предприятиях, предложили расширить изначальные направления
новыми, лучше отражающими специфику отдельных компаний
– Пользователи, поставщики, регуляторы и т.п.
44. Система сбалансированных показателей в ИБ
ЗаказчикЗаказчик
Ценность для
бизнеса
Ценность для
бизнеса
Операционная
эффективность
Операционная
эффективность
БудущееБудущее
ComplianceCompliance
Достоинства Ограничения
BSC – известный топ-менеджменту
метод оценки бизнеса и его
преломление в область ИБ позволит
найти общий язык с бизнесом
Если BSC не принят в организации, то
ограничение его только областью ИБ
может не дать эффекта на уровне
предприятия
45. BSC: ориентация на заказчика
Цель Что измеряем
Удовлетворенность заказчиков
Индекс удовлетворенности заказчиков (например, по
результатам опроса)
Число сотрудников бизнес-подразделений, которым
делегированы некоторые функции по ИБ
Число сотрудников, успешно прошедших тренинги по ИБ
Партнерство с бизнесом
Частота встреч управляющего комитета
Вовлечение службы ИБ в новые проекты, задачи и направления
бизнеса (например, в виде индекса)
Наличие в компании топ-менеджера, ответственного за ИБ
Выполнение проектов
Заданное качество проекта (например, в виде индекса)
Завершение проекта в срок (например, в виде индекса)
Уложились в бюджет (например, в виде индекса)
Реакция на запросы Скорость реагирования на звонки в help desk
Выполнение SLA
Процент приложений и сервисов, для которых разработан SLA
Число подразделений/заказчиков, заключивших SLA
46. BSC: ценность для бизнеса
Цель Что измеряем
Рост выручки предприятия Выручка от запуска нового канала продаж
Рост выручки на одного заказчика
Рост удовлетворенности заказчика
Снижение текучки заказчиков
Снижение затрат
Разница между ценой коммерческой СЗИ и свободно
распространяемой
Стоимость звонков в help desk до и после внедрения системы
автоматизированного управления паролями
Стоимость работ по восстановлению работоспособности ИТ-
инфраструктуры
Контроль и управление ИБ-бюджетом
Соотношение реальных затрат с запрошенными
Процент ИБ-бюджета от выручки
Стоимость ИБ на одного сотрудника
Положительный возврат инвестиций ROI, NPV, PbP проекта по ИБ
Снижение затрат, связанных с рисками
Число инцидентов безопасности в квартал
Число систем, соответствующих требованиям регуляторов по
ИБ
47. BSC: операционная эффективность
Цель Что измерять?
Эффективность процессов
Процент сбоев системы защиты
Соответствие стандарта ISM3 или ISO 27001
Уровень зрелости процессов управления ИБ
Скорость процессов управления ИБ
Качество процессов управления ИБ
Адаптивность
Время инициации проекта после первого запроса
Время на внедрение/настройку системы защиты для нового
приложения
Скорость реакции на новые регулятивные требования
Управление проектами
Число завершенных проектов
Процент успешно завершенных проектов
Процент расхождения с бюджетом
Внутренняя безопасность Текучка кадров в службе ИБ
48. BSC: ориентация на будущее
Цель Что измерять?
Кадры Процент руководителей, в MBO которых включены
пункты по ИБ
Процент сотрудников службы ИБ, имеющих планы
профессионального развития
Процент трудовых договоров, включающих пункты о
соблюдении конфиденциальности и правил ИБ
Информация Соотношение «будущее развитие/текучка» в ИБ-
бюджете
Число компаний, с которыми заключены контракты
Число систем защиты на аутсорсинге
Существование архитектуры ИБ
Уровень стандартизации процессов, технологий и
систем
Культура Число сотрудников, понимающих миссию службы ИБ
Индекс зрелости культуры ИБ
Число задокументированных best practices или
success stories в области ИБ
49. BSC: ориентация на регуляторов
Цель Что измеряем?
Соответствие Завершение аудита на соответствие PCI DSS
Внедрение рекомендаций по управлению ИБ ITU-
T X.1051
Аттестация ФСТЭК на соответствие СТР-К
Регуляторы Число претензий со стороны регулирующих и
надзорных органов
51. PEST-анализ
• PEST-анализ
– Political
– Economic
– Social
– Technological
• Используется для стратегического анализа отрасли и изучения
долгосрочных тенденций ее развития
54. Преимущества использования моделей
• Охватывают не все, а только самое
главное
• Сфокусированы только на том, что
полезно и важно
• Обобщают сложные взаимосвязи
• Визуализируют то, что сложно
объяснить на словах
• Упорядочивают и структурируют
• Не дают ответов, а скорее ставят
вопросы, решение которых
появляется в результате работы с
моделью
