Submit Search
Upload
Системная Инженерия для CISO
•
0 likes
•
637 views
Vladimir Gninyuk
Follow
Что надо знать и уметь чтобы ваша СУИБ была успешной?
Read less
Read more
Business
Report
Share
Report
Share
1 of 26
Download now
Download to read offline
Recommended
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
Expolink
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Цикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
Цикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
Recommended
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
ESET. Анна Митрошкина. "ESET Антивирусная защита для вашего бизнеса"
Expolink
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Цикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
Цикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
пр серия стандартов Iso 27k
пр серия стандартов Iso 27k
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Безопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Expolink
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
Aleksey Lukatskiy
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Yuri Bubnov
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
1.астерит хазиев м
1.астерит хазиев м
Expolink
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Expolink
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink
More Related Content
What's hot
пр серия стандартов Iso 27k
пр серия стандартов Iso 27k
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Безопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Expolink
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Solar Security
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
Aleksey Lukatskiy
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
What's hot
(17)
пр серия стандартов Iso 27k
пр серия стандартов Iso 27k
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Безопасная разработка приложений на практике
Безопасная разработка приложений на практике
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
4. ePlat4m Security GRC
4. ePlat4m Security GRC
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Eset. Дмитрий Самойленко "Антивирусная защита для вашего бизнеса"
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Как выбрать правильный IdM управление доступом в крупных компаниях
Как выбрать правильный IdM управление доступом в крупных компаниях
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Similar to Системная Инженерия для CISO
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Yuri Bubnov
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
1.астерит хазиев м
1.астерит хазиев м
Expolink
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Expolink
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Expolink
астерит код иб 25.09.2014
астерит код иб 25.09.2014
Expolink
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
Expolink
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
DialogueScience
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Expolink
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Cisco Russia
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Expolink
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
Компания УЦСБ
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
Expolink
1. Презентация шпаргалка
1. Презентация шпаргалка
RnD_SM
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
SelectedPresentations
2015 02 пм качалин sdl
2015 02 пм качалин sdl
Alexey Kachalin
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Expolink
лекция 10 (4часа)
лекция 10 (4часа)
Anastasia Snegina
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
Expolink
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
Expolink
Similar to Системная Инженерия для CISO
(20)
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Cистемная инженерия безопасности объектов недвижимости и бизнес-процессов.
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
1.астерит хазиев м
1.астерит хазиев м
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
астерит код иб 25.09.2014
астерит код иб 25.09.2014
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Vblock: как должна выглядеть конвергентная инфраструктура современного ЦОД
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
1. Презентация шпаргалка
1. Презентация шпаргалка
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
2015 02 пм качалин sdl
2015 02 пм качалин sdl
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
лекция 10 (4часа)
лекция 10 (4часа)
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
сзпдн как первый шаг к комплексной системе иб
Системная Инженерия для CISO
1.
101 курс 101
курса Системной Инжинирии для CISO Конференция UISGCON10 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
2.
Современное Предприятие ©
Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 2 Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.
3.
Источники проблем СУИБ
•Онтологические •Управленческие •Междисциплинарные •Сложность © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 3
4.
Источники проблем: Что
есть ИБ? Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010) ----------------------------------------------------------------------------- Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010) © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 4
5.
Шаблоны Картины мира
© Владимир Гнинюк, 2012 Конференция UISGCON8 Страница 5 Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002 Business Model for Information Security от ISACA (2010)
6.
Источники проблем: Управление
•где написано, что надо создавать "подразделение ИБ"? •управление требованиями •описание систем (целевой, обеспечивающей, операционного окружения): функциональные, архитектурные, моделирование, и т.п. •управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем •управление жизненным циклом © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 6
7.
Источники проблем: Междисциплинарные
•SCADA •СКУД, Видеонаблюдение •GSM-навигация •IoT •Разные носители и формы •Строительные конструкции •Кондиционирование •Энергетика •Геология и Климат © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 7
8.
Источники проблем: Сложность
•Бизнес-системы •Инфраструктура: своя, аутсорсинг, облака, … •Границы системы - система в глазах смотрящего … все это перемножить с выше сказанным © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 8
9.
Поиск решения Что
делать? © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 9
10.
Поиск решения: Системная
Инженерия междисциплинарный подход и средства для создания успешных систем Systems Engineering Handbook, version 2a. — INCOSE, 2004 междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров MIL-STD-499 Military Standard System Engineering Management. — Department of Defense, 1969. © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 10
11.
Поиск решения: Системная
Инженерия Правильная деятельность благодаря системноинженерному мышлению: •Целостность, междисциплинарность и эмерджентность •Система без стейкхолдера не существует •Система – это всегда холон, входящей в холархию •Жизненный цикл Главный вопрос: ЗАЧЕМ? Главный принцип: Сначала думать, а затем делать © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 11
12.
СИ vs Project
Management Мотивация: «Что делать?» vs «Как делать?» Ориентиры: «Цели» vs «Ресурсы» Продолжительность: «Жизненный Цикл» vs «Стадия» © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 12
13.
Стадии жизненного цикла
(ISO/IEC 15288) a) стадия замысла; b) стадия разработки; c) стадия производства; d) стадия применения; e) стадия поддержки применения; f) стадия прекращения применения и списания © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 13
14.
Практики: V-model процесса
СИ © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 14 Концепция Проектирование Архитектуры Детальное проектирование Реализация Модульное тестирование и интеграция Тестирование и проверка системы Введение в эксплуатацию и поддержка Валидация системы Верификация системы Верификация компонент В р е м я
15.
Практики: Языки моделирования
© Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 15 •ArchiMate •Essence •SysML •Modelica •AADL •etc, etc, etc
16.
Практики: ISO/IEC 15288
Процесс приобретения Процесс поставки Процессы предприятия •управления средой предприятия •управления инвестициями •управления процессами ЖЦ системы •управления ресурсами •управления качеством Процессы проекта •планирования проекта •оценки проекта •контроля проекта •принятия решений •управления рисками •управления конфигурацией •управления информацией Технические процессы •определения требований стейкхолдеров •анализа требований •проектирования архитектуры •реализации элементов системы •комплексирования •верификации •передачи •валидации •функционирования •обслуживания •изъятия и списания © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 16
17.
Практики: OMG Essence
и СИ © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 17 А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014
18.
Основные Роли Системных
Инженеров Инженер по требованиям Инженер системной архитекторы Инженер по управлению конфигурацией Инженер по испытаниям Инженер по безопасности © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 18
19.
Инженерия защитоспособности Инженерия
безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты. Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести. Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 19
20.
Проблема: Инженерии безопасности
и защиты •Обычно рассматриваются как вторичные дисциплины специальной инженерии •Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка) Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно) Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 20
21.
Проблема: Разделение инженерий
Разделение инженерии требований и инженерии безопасности и защиты вызывает: Плохие требования безопасности и защиты, которые часто: •Расплывчаты, непроверяемы, и не истинные требования, а неосуществимые возможности или цели •Неудовлетворительны для направления архитектуры, проектирования и реализации •Определены и управляемы отдельно от всех остальных требований •Игнорируются инженерами по требованиям и архитекторами •Производятся слишком поздно для архитектуры и испытаний Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 21
22.
Пример: Типы систем
Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 22
23.
Пример: Активы Donald
Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 23
24.
Пример : Уязвимости
Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 24
25.
Пример : Анализ
Нарушений Donald Firesmith, SEI, Carnegie Mellon University © Владимир Гнинюк, 2014 Конференция UISGCON10 Страница 25
26.
В поисках взаимопонимания
ИБ и Бизнеса Вопросы Владимир Гнинюк e-mail: vgninyuk@global-it-service.com.ua Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44
Download now