SlideShare a Scribd company logo

Системная Инженерия для CISO

Vladimir Gninyuk
Vladimir Gninyuk

Что надо знать и уметь чтобы ваша СУИБ была успешной?

Business
1 of 26
Download to read offline
101 курс 101 курса Системной Инжинирии для CISO Конференция UISGCON10 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
Современное Предприятие © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 2 Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.
Источники проблем СУИБ •Онтологические •Управленческие •Междисциплинарные •Сложность © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 3
Источники проблем: Что есть ИБ? Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010) ----------------------------------------------------------------------------- Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010) © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 4
Шаблоны Картины мира © Владимир Гнинюк, 2012 Конференция UISGCON8 Страница 5 Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 Business Model for Information Security от ISACA (2010)
Источники проблем: Управление •где написано, что надо создавать "подразделение ИБ"? •управление требованиями •описание систем (целевой, обеспечивающей, операционного окружения): функциональные, архитектурные, моделирование, и т.п. •управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем •управление жизненным циклом © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 6
Источники проблем: Междисциплинарные •SCADA •СКУД, Видеонаблюдение •GSM-навигация •IoT •Разные носители и формы •Строительные конструкции •Кондиционирование •Энергетика •Геология и Климат © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 7
Источники проблем: Сложность •Бизнес-системы •Инфраструктура: своя, аутсорсинг, облака, … •Границы системы - система в глазах смотрящего … все это перемножить с выше сказанным © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 8
Поиск решения Что делать? © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 9
Поиск решения: Системная Инженерия междисциплинарный подход и средства для создания успешных систем Systems Engineering Handbook, version 2a. — INCOSE, 2004 междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров MIL-STD-499 Military Standard System Engineering Management. — Department of Defense, 1969. © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 10
Поиск решения: Системная Инженерия Правильная деятельность благодаря системноинженерному мышлению: •Целостность, междисциплинарность и эмерджентность •Система без стейкхолдера не существует •Система – это всегда холон, входящей в холархию •Жизненный цикл Главный вопрос: ЗАЧЕМ? Главный принцип: Сначала думать, а затем делать © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 11
СИ vs Project Management Мотивация: «Что делать?» vs «Как делать?» Ориентиры: «Цели» vs «Ресурсы» Продолжительность: «Жизненный Цикл» vs «Стадия» © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 12
Стадии жизненного цикла (ISO/IEC 15288) a) стадия замысла; b) стадия разработки; c) стадия производства; d) стадия применения; e) стадия поддержки применения; f) стадия прекращения применения и списания © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 13
Практики: V-model процесса СИ © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 14 Концепция Проектирование Архитектуры Детальное проектирование Реализация Модульное тестирование и интеграция Тестирование и проверка системы Введение в эксплуатацию и поддержка Валидация системы Верификация системы Верификация компонент В р е м я
Практики: Языки моделирования © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 15 •ArchiMate •Essence •SysML •Modelica •AADL •etc, etc, etc
Практики: ISO/IEC 15288 Процесс приобретения Процесс поставки Процессы предприятия •управления средой предприятия •управления инвестициями •управления процессами ЖЦ системы •управления ресурсами •управления качеством Процессы проекта •планирования проекта •оценки проекта •контроля проекта •принятия решений •управления рисками •управления конфигурацией •управления информацией Технические процессы •определения требований стейкхолдеров •анализа требований •проектирования архитектуры •реализации элементов системы •комплексирования •верификации •передачи •валидации •функционирования •обслуживания •изъятия и списания © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 16
Практики: OMG Essence и СИ © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 17 А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014
Основные Роли Системных Инженеров Инженер по требованиям Инженер системной архитекторы Инженер по управлению конфигурацией Инженер по испытаниям Инженер по безопасности © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 18
Инженерия защитоспособности Инженерия безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты. Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести. Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 19
Проблема: Инженерии безопасности и защиты •Обычно рассматриваются как вторичные дисциплины специальной инженерии •Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка) Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно) Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 20
Проблема: Разделение инженерий Разделение инженерии требований и инженерии безопасности и защиты вызывает: Плохие требования безопасности и защиты, которые часто: •Расплывчаты, непроверяемы, и не истинные требования, а неосуществимые возможности или цели •Неудовлетворительны для направления архитектуры, проектирования и реализации •Определены и управляемы отдельно от всех остальных требований •Игнорируются инженерами по требованиям и архитекторами •Производятся слишком поздно для архитектуры и испытаний Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 21
Пример: Типы систем Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 22
Пример: Активы Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 23
Пример : Уязвимости Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 24
Пример : Анализ Нарушений Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 25
В поисках взаимопонимания ИБ и Бизнеса Вопросы Владимир Гнинюк e-mail: vgninyuk@global-it-service.com.ua Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44

Recommended

Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"Expolink
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 

Recommended

Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"Expolink
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27kAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"Expolink
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийAleksey Lukatskiy
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Yuri Bubnov
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев мExpolink
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Expolink
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 

More Related Content

What's hot

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"Expolink
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхSolar Security
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4a_a_a
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийAleksey Lukatskiy
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБAlexey Evmenkov
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаAlexey Evmenkov
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 

What's hot (17)

пр серия стандартов Iso 27k
пр серия стандартов Iso 27kпр серия стандартов Iso 27k
пр серия стандартов Iso 27k
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компанияхКак выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
 
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 

Similar to Системная Инженерия для CISO

Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Yuri Bubnov
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев мExpolink
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Expolink
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014Expolink
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПDialogueScience
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОДVblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОДCisco Russia
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииExpolink
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийExpolink
 
1. Презентация шпаргалка
1. Презентация шпаргалка1. Презентация шпаргалка
1. Презентация шпаргалкаRnD_SM
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Expolink
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибExpolink
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибExpolink
 

Similar to Системная Инженерия для CISO (20)

Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
1.астерит хазиев м
1.астерит хазиев м1.астерит хазиев м
1.астерит хазиев м
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОДVblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
 
1. Презентация шпаргалка
1. Презентация шпаргалка1. Презентация шпаргалка
1. Презентация шпаргалка
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
 
лекция 10 (4часа)
лекция 10 (4часа)лекция 10 (4часа)
лекция 10 (4часа)
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
 
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе ибсзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
 

Системная Инженерия для CISO

  • 1. 101 курс 101 курса Системной Инжинирии для CISO Конференция UISGCON10 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
  • 2. Современное Предприятие © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 2 Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.
  • 3. Источники проблем СУИБ •Онтологические •Управленческие •Междисциплинарные •Сложность © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 3
  • 4. Источники проблем: Что есть ИБ? Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010) ----------------------------------------------------------------------------- Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010) © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 4
  • 5. Шаблоны Картины мира © Владимир Гнинюк, 2012 Конференция UISGCON8 Страница 5 Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 Business Model for Information Security от ISACA (2010)
  • 6. Источники проблем: Управление •где написано, что надо создавать "подразделение ИБ"? •управление требованиями •описание систем (целевой, обеспечивающей, операционного окружения): функциональные, архитектурные, моделирование, и т.п. •управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем •управление жизненным циклом © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 6
  • 7. Источники проблем: Междисциплинарные •SCADA •СКУД, Видеонаблюдение •GSM-навигация •IoT •Разные носители и формы •Строительные конструкции •Кондиционирование •Энергетика •Геология и Климат © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 7
  • 8. Источники проблем: Сложность •Бизнес-системы •Инфраструктура: своя, аутсорсинг, облака, … •Границы системы - система в глазах смотрящего … все это перемножить с выше сказанным © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 8
  • 9. Поиск решения Что делать? © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 9
  • 10. Поиск решения: Системная Инженерия междисциплинарный подход и средства для создания успешных систем Systems Engineering Handbook, version 2a. — INCOSE, 2004 междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров MIL-STD-499 Military Standard System Engineering Management. — Department of Defense, 1969. © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 10
  • 11. Поиск решения: Системная Инженерия Правильная деятельность благодаря системноинженерному мышлению: •Целостность, междисциплинарность и эмерджентность •Система без стейкхолдера не существует •Система – это всегда холон, входящей в холархию •Жизненный цикл Главный вопрос: ЗАЧЕМ? Главный принцип: Сначала думать, а затем делать © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 11
  • 12. СИ vs Project Management Мотивация: «Что делать?» vs «Как делать?» Ориентиры: «Цели» vs «Ресурсы» Продолжительность: «Жизненный Цикл» vs «Стадия» © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 12
  • 13. Стадии жизненного цикла (ISO/IEC 15288) a) стадия замысла; b) стадия разработки; c) стадия производства; d) стадия применения; e) стадия поддержки применения; f) стадия прекращения применения и списания © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 13
  • 14. Практики: V-model процесса СИ © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 14 Концепция Проектирование Архитектуры Детальное проектирование Реализация Модульное тестирование и интеграция Тестирование и проверка системы Введение в эксплуатацию и поддержка Валидация системы Верификация системы Верификация компонент В р е м я
  • 15. Практики: Языки моделирования © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 15 •ArchiMate •Essence •SysML •Modelica •AADL •etc, etc, etc
  • 16. Практики: ISO/IEC 15288 Процесс приобретения Процесс поставки Процессы предприятия •управления средой предприятия •управления инвестициями •управления процессами ЖЦ системы •управления ресурсами •управления качеством Процессы проекта •планирования проекта •оценки проекта •контроля проекта •принятия решений •управления рисками •управления конфигурацией •управления информацией Технические процессы •определения требований стейкхолдеров •анализа требований •проектирования архитектуры •реализации элементов системы •комплексирования •верификации •передачи •валидации •функционирования •обслуживания •изъятия и списания © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 16
  • 17. Практики: OMG Essence и СИ © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 17 А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014
  • 18. Основные Роли Системных Инженеров Инженер по требованиям Инженер системной архитекторы Инженер по управлению конфигурацией Инженер по испытаниям Инженер по безопасности © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 18
  • 19. Инженерия защитоспособности Инженерия безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты. Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести. Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 19
  • 20. Проблема: Инженерии безопасности и защиты •Обычно рассматриваются как вторичные дисциплины специальной инженерии •Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка) Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно) Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 20
  • 21. Проблема: Разделение инженерий Разделение инженерии требований и инженерии безопасности и защиты вызывает: Плохие требования безопасности и защиты, которые часто: •Расплывчаты, непроверяемы, и не истинные требования, а неосуществимые возможности или цели •Неудовлетворительны для направления архитектуры, проектирования и реализации •Определены и управляемы отдельно от всех остальных требований •Игнорируются инженерами по требованиям и архитекторами •Производятся слишком поздно для архитектуры и испытаний Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 21
  • 22. Пример: Типы систем Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 22
  • 23. Пример: Активы Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 23
  • 24. Пример : Уязвимости Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 24
  • 25. Пример : Анализ Нарушений Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 25
  • 26. В поисках взаимопонимания ИБ и Бизнеса Вопросы Владимир Гнинюк e-mail: vgninyuk@global-it-service.com.ua Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44