Your SlideShare is downloading. ×
Как в пылу борьбы за C и R, не забыть про G
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Как в пылу борьбы за C и R, не забыть про G

1,389
views

Published on

Published in: Business, Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,389
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
107
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Как в пылу борьбы за R и C не забыть, что такое G? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 1/19
  • 2. GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 2/19
  • 3. Множество требований Compliance Национальные и Стандарты Governance для ИТ Другие связанные международные формальные AS8015 (будущий ISO): стандарты бизнес-требования Corporate Governance of ICT ISO9000 OECD Principles of AS8016: AS8017: AS8019: (Quality) Corporate Governance Projects Operations Information ISO 15489 Sarbanes Oxley (Records) ISO 20000: ISO 17799 & UK Combined Code (1998) ITSM & Turnbull Report (1999) ISO 27001: VERS Info Security (Records) EU 8th directive on company law AS 4360 Стандарты де юре управления ИТ Basel (Risk) IFRS COSO II Gateway Records Keeping laws Prince 2 PMBoK ITIL GAISP (anti) spam laws CoBiT Freedom of Information ValIT … Privacy laws … Стандарты де-факто управления ИТ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 3/19
  • 4. Стандарты управления рисками  AS/NZS 4360  NIST SP 800-3  HB 167:200X  SOMAP  EBIOS  Lanifex Risk Compass  ISO 27005 (ISO/IEC IS  Austrian IT Security 13335-2) Handbook  MAGERIT  на основе CRAMM  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3  ISO 31000 InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 4/19
  • 5. Чего нам не хватает?  Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов  Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 5/19
  • 6. Security Management: панацея? Security Management Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 6/19
  • 7. Ситуация меняется… но не для бизнеса Ситуация приводит.. в результате Противодействие Перерасход пользователей ИБ- Очень много бюджета проектам проектов Отсутствие Срыв сроков стратегии развития Нельзя отказаться от проекта Падает качество С бизнесом не Проекты «продаются» связано на эмоциях Преимуществ Недооценка Нет процесса оценки рисков и затрат не видно Отсутствие Перебор с Проекты не доверия к ИБ финансовым ROI связаны со Нет четких стратегией критериев для выбора InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 7/19
  • 8. Разрыв между бизнесом и технологиями Управление стратегией Управление архитектурой • Selective hearing • Wishful thinking • Fear • Emotional over- ? investment Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 8/19
  • 9. “Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 9/19
  • 10. Security Governance как связующее звено InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 10/19
  • 11. Определения Security Governance  . . . связь между бизнесом и управлением ИБ  . . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры  . . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности  …подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 11/19
  • 12. Определения Security Governance  Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ- решений  …взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 12/19
  • 13. Связь с другими дисциплинами  Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня  Security governance поддерживает следующие дисциплины: Управление ИБ-активами Управление ИБ-портфолио Архитектура ИБ предприятия Управление ИБ-проектами Управление ИБ-программами Управление ИБ-сервисами Оптимизация бизнес-технологий Измерение ценности и вклада ИБ в бизнес InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 13/19
  • 14. Модель Security Governance Управление стратегией Управление архитектурой Управление портфолио Управление программой Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 14/19
  • 15. • Закрываем бизнес-проблемы Дублирование инициатив • Решения, не связанные с бизнесом Управление стратегией Управление архитектурой • Слабо продуманные инициативы (очень поздно, очень рано, не требуется) Управление портфолио 52% Управление программой • Доработка Управление (неадекватные требования) активами • Повторное Управление проектами 15% • Неполностью проектирование 33% утилизированная инфраструктура (упущения из-за пропуска • Частые повторы изменений) из-за слабой • Ресурсы не Операционное управление архитектуры связаны с бизнесом Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 15/19
  • 16. Объединяя все вместе Security Governance Управление соответствием Управление рисками ? Управление ИБ Защитные меры InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 16/19
  • 17. Новый взгляд на безопасность InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 17/19
  • 18. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 18/19
  • 19. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 19/19