Successfully reported this slideshow.

Роль Информационной Безопасности в управлении проектами или почему скрипач нужен

1

Share

Nov. 08, 2015
1 like 667 views
Upcoming SlideShare
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
Loading in …3
×
1 of 56
1 of 56

Роль Информационной Безопасности в управлении проектами или почему скрипач нужен

Nov. 08, 2015
1 like 667 views

1

Share

Download to read offline

Software

Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?

В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.

В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?

Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?

В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.

В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?

Software

Recommended

More Related Content

Featured

What to Upload to SlideShare
SlideShare
Be A Great Product Leader (Amplify, Oct 2019)
Adam Nash
Trillion Dollar Coach Book (Bill Campbell)
Eric Schmidt
APIdays Paris 2019 - Innovation @ scale, APIs as Digital Factories' New Machi...
apidays
A few thoughts on work life-balance
Wim Vanderbauwhede
Is vc still a thing final
Mark Suster
The GaryVee Content Model
Gary Vaynerchuk
Mammalian Brain Chemistry Explains Everything
Loretta Breuning, PhD
Blockchain + AI + Crypto Economics Are We Creating a Code Tsunami?
Dinis Guarda
The AI Rush
Jean-Baptiste Dumont
AI and Machine Learning Demystified by Carol Smith at Midwest UX 2017
Carol Smith
10 facts about jobs in the future
Pew Research Center's Internet & American Life Project
Harry Surden - Artificial Intelligence and Law Overview
Harry Surden
Inside Google's Numbers in 2017
Rand Fishkin
Pinot: Realtime Distributed OLAP datastore
Kishore Gopalakrishna
How to Become a Thought Leader in Your Niche
Leslie Samuel
Visual Design with Data
Seth Familian
Designing Teams for Emerging Challenges
Aaron Irizarry
UX, ethnography and possibilities: for Libraries, Museums and Archives
Ned Potter
Winners and Losers - All the (Russian) President's Men
Ian Bremmer

Related Books

Free with a 14 day trial from Scribd

See all
In the Plex: How Google Thinks, Works, and Shapes Our Lives Steven Levy
(4.5/5)
Free
Hamlet's BlackBerry: A Practical Philosophy for Building a Good Life in the Digital Age William Powers
(4/5)
Free
Emergence: The Connected Lives of Ants, Brains, Cities, and Software Steven Johnson
(4.5/5)
Free
Tubes: A Journey to the Center of the Internet Andrew Blum
(4/5)
Free
The Impulse Economy: Understanding Mobile Shoppers and What Makes Them Buy Gary Schwartz
(4.5/5)
Free
An Army of Davids: How Markets and Technology Empower Ordinary People to Beat Big Media, Big Government, and Other Goliaths Glenn Reynolds
(4/5)
Free
World Wide Mind: The Coming Integration of Humanity, Machines, and the Internet Michael Chorost
(4/5)
Free
Blog Schmog: The Truth About What Blogs Can (and Can't) Do for Your Business Robert W. Bly
(4/5)
Free
The End of Business As Usual: Rewire the Way You Work to Succeed in the Consumer Revolution Brian Solis
(5/5)
Free
Talking Back to Facebook: The Common Sense Guide to Raising Kids in the Digital Age James P. Steyer
(4.5/5)
Free
The Thank You Economy Gary Vaynerchuk
(4/5)
Free
Socialnomics: How Social Media Transforms the Way We Live and Do Business Erik Qualman
(4/5)
Free
The Nature of the Future: Dispatches from the Socialstructed World Marina Gorbis
(4/5)
Free
Public Parts: How Sharing in the Digital Age Improves the Way We Work and Live Jeff Jarvis
(3.5/5)
Free
The Innovators: How a Group of Hackers, Geniuses, and Geeks Created the Digital Revolution Walter Isaacson
(4/5)
Free
Alan Turing: The Enigma: The Book That Inspired the Film The Imitation Game - Updated Edition Andrew Hodges
(4/5)
Free

Related Audiobooks

Free with a 14 day trial from Scribd

See all
The Death of Expertise: The Campaign Against Established Knowledge and Why it Matters Tom Nichols
(4.5/5)
Free
Alone Together: Why We Expect More from Technology and Less from Each Other Sherry Turkle
(4.5/5)
Free
Algorithms to Live By: The Computer Science of Human Decisions Brian Christian
(4.5/5)
Free
New Dark Age: Technology and the End of the Future James Bridle
(4.5/5)
Free
Blockchain Revolution: How the Technology Behind Bitcoin Is Changing Money, Business, and the World Don Tapscott
(4/5)
Free
The Emperor's New Mind: Concerning Computers, Minds, and the Laws of Physics Roger Penrose
(3.5/5)
Free
Cognitive Surplus: Creativity and Generosity in a Connected Age Clay Shirky
(4/5)
Free
The History of the Future: Oculus, Facebook, and the Revolution That Swept Virtual Reality Blake J. Harris
(4.5/5)
Free
Everybody Lies: Big Data, New Data, and What the Internet Can Tell Us About Who We Really Are Seth Stephens-Davidowitz
(4.5/5)
Free
Ten Arguments for Deleting Your Social Media Accounts Right Now Jaron Lanier
(4/5)
Free
The New New Thing: A Silicon Valley Story Michael Lewis
(4.5/5)
Free
The Social Life of Information: Updated, with a New Preface-Revised John Seely Brown
(0/5)
Free
An Introduction to Information Theory: Symbols, Signals and Noise John R. Pierce
(4.5/5)
Free
Who Owns the Future? Jaron Lanier
(4/5)
Free
The Dark Net: Inside the Digital Underworld Jamie Bartlett
(4/5)
Free
Internet Riches: The Simple Money-Making Secrets of Online Millionaires Scott Fox
(4/5)
Free

Роль Информационной Безопасности в управлении проектами или почему скрипач нужен

  1. 1. Роль информационной безопасности в управлении проектами или Почему скрипач нужен Евменков Алексей isqa.ru
  2. 2. Аннотация • Всеруководителипроектовпристегиваютсявмашине,норедкокто думаетобинформационнойбезопасности,управляясвоимпроектом. • Чтознаютруководителипроектовобинформационнойбезопасности? То,чтопаролидолжныбытьсложнымиисуществуютабстрактные политикипроможно/нельзя? • Вреальноммире-информационнаябезопасность(ИБ)-этоогромный пластпрактик:технических,организационных,управленческих. • ВдокладебудетрассмотреныаспектыИБвразрезеуправленияИТ проектами.Авторобсудитвопросы-астоитливкладыватьсявэту областьнапроекте-ресурсами,деньгами,временем?Еслида,то почемуэтооправдаетсебя?
  3. 3. Представление • СпециалистпоИБ,попроцессам икачествувИТобласти • Внедряюиподготавливаю к сертификации-ИСО27001и9001 • Разрабатываю &внедряю процессыразработкиПО, ИБ • Профессиональныйаудиторпо ИБипроцессам
  4. 4. ПОЧЕМУ ЭТО ВАЖНО?
  5. 5. Почему тема ИБ важна для управления проектами • Разрабатываемыесистемыстановятсяболеесложными • Вероятностьошибок,связанныхсИБвозрастает ОшибкавмодулестребованиямиИБ(например,модуль авторизации)–приводиткуязвимостивсейсистемы • Возрастаетценностьданных,соответственноинтерессо сторонызлоумышленников • ПрименениеИБнапроектахиворганизациивцелом- движениеорганизациикбольшейзрелости • Неочевидныесвязимеждувещами,напримерпрограммаBASи будущийбизнессЕвропой
  6. 6. Почему тема ИБ важна для управления проектами • Аналогиясмашиной,самое главное-доехатькуданужно, вовремя,инедорого • Какивпроекте,ценакачествоисрок • Нониктонеподумаетнепристегнутьсяилиотключить подушкибезопасности • Впроектномуправлении,ИБ-этоцентррастрат,какиремни безопасностивмашине. • Новозможноэтосохранитвашукарьеру
  7. 7. ОПРЕДЕЛЕНИЯ
  8. 8. Что такое ИБ ИнформационнаяБезопасность(ИБ) - свойствоинформации сохранятьконфиденциальность,целостностьидоступность. [Источник:ИСО27001] Примерсбазойданных • Конфиденцильность–конфиденциальностьданных,неразглашениениприкаких условиях(госучреждениекпримеру) • Целостность–непротиворечивыеданныевбазе,защитаотсбоев • Доступность-доступтолькоутех,комунужно,внужноевремя(еслибазадоступнатолько поночам–недело) Иногдадобавляются: • Неотказуемость, • Подотчетность • Аутентичность • Достоверность
  9. 9. СистемаМенеджментаИБ (СМИБ)–наборорганизационных, управленческихитехническихмерзащиты информации. Что такое СМИБ
  10. 10. СМИБ–чтоподкапотом? Что такое СМИБ Напрямую касается управления проектами
  11. 11. Двигатель СМИБ - управление рисками Угроза: нарушение лицензионности, использование чужого кода Уязвимость: Из-за отсутствия необходимых знаний у членов команды Актив: программные компоненты (deliverables) Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
  12. 12. Ценность анализа рисков • За год от падения кокосов погибает в десятки раз больше людей, чем от акул – Часто мы боимся не то, что нужно • Мужчины поражаемы молнией в 4 раза более часто чем женщины – В жизни бывают странные закономерности • Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн. – Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их Анализ рисков дает основания для объективных решений
  13. 13. ОРГАНИЗАЦИОННАЯ ИБ
  14. 14. Мир ИБ 2011-09-07 Technologies war Government challenges Business requirements
  15. 15. Война технологий
  16. 16. Организационные проблемы
  17. 17. Требования бизнеса
  18. 18. Организационная ИБ • Informationsecuritypolicies • ПомогаетвыстроитькультуруИБворганизации • Organizationofinformationsecurity • Тренингидляпроектнойкоманды,обработкапроектных инцидентовИБ,помощьсИБвопросами • !Правилаудаленнойработы • !Правилаработысмобильнымиустройствами • Humanresourcessecurity • Надежныйперсоналнапроекте • Решаетбазовыевопросысперсоналом
  19. 19. Правилаудаленнойработы
  20. 20. Организационная ИБ • Assetmanagement • Предоставляеткатегоризацию активов(включаяпроектные) • Классификацияинформации • Правилаработысфизическимиактивами,уничтожение, выносзапределыофиса • Accesscontrol • Управлениеправамипользователейнапроектах • Новыйчленкоманды,увольнение/переводсотрудника, закрытиепроекта • Правила“leastprivilege”и“needtoknow”
  21. 21. Классификацияинформации
  22. 22. Управлениедоступом
  23. 23. Организационная ИБ • Physicalandenvironmentalsecurity • Регламентируетповедениесотрудников • Чистыйстолиэкран • Производитвпечатлениеназаказчиков:) • Operationssecurity • Управлениеизменениями • Управлениемощностью(capacity) • Обеспечениеантивируснойподдержки • Обеспечениерезервногокопирования • Логгированиеимониторингсобытий(всети,всистемах)
  24. 24. Организационная ИБ • Communicationssecurity • Базоваябезопасностьсети • Безопасностьпроектнойсреды(железо+ПО) • SLAотИТотдела • Правилараспространенияинформации–всоц.сетях,в интернете,впочте,насобеседованиях:) • Confidentialityornondisclosureagreements
  25. 25. Организационная ИБ • Systemacquisition, development andmaintenance • Правилабезопаснойразработки • Правилаsecurityengineering(соответствиеcoding standardsидр.) • Безопасныйoutsourcing • БезопасныеизменениявПО,управлениерискамии многоедругое.
  26. 26. Организационная ИБ • Supplierrelationships • Правилакоммуникации,соглашения • Informationsecurityincidentmanagement • Предотвращениеиобработкаинцидентовнапроекте • Informationsecurityaspectsofbusinesscontinuity management • Надежноеоснованиедляведенияпроекта(наслучай непредвиденныхобстоятельств)
  27. 27. Организационная ИБ • Compliance • Интеллектуальнаясобственность • Персональныеданные • Криптографическиеконтролы
  28. 28. ИБ В УПРАВЛЕНИИ ПРОЕКТАМИ
  29. 29. Применимость ИБ на проектах ПреждечемприменятьтребованияИБ, оцениреальность • Типпроекта • Fixedprice/time-material • Productdevelopment? • Стартап? • Размерпроекта • 2хнедельныйPOC?Или1йэтапна6мес? • Типзаказчика • Небольшаяфирмасзаказомсайта • Международнаякорпорация • Типдеятельности?Gambling,finance?
  30. 30. Надежда РП В95% случаев,управление проектамирассчитанона добрыхлюдей • поспособам коммуникаций • похранениюданных- заказчикаисвоей организации • по способамудаленной работы
  31. 31. Где РП может научиться ИБ ? • ВPMBOK5th –словоsecurity встречается9раз- на619стр. • Всевхождения–либопроsecurityrequirements либослучайные Учитьсянужносамостоятельно, требоватьподдержкууруководства:)
  32. 32. 2 подхода к ИБ в управлении проектами • Включитьправила,требованияИБв производственныйпроцесс либо • РеагироватьнаинцидентыИБ ЛучшевключитьтребованияИБв процесс управленияпроектами!
  33. 33. КакиетребованияИБв процесс управленияпроектами?
  34. 34. Следовать внутренним правилам ИБ организации • Физическаябезопасность,мобильныеустройства,удаленная работаит.д.–всеэтодолжнобытьчастьюкультурынапроекте • ТребуйтеобученияпоИБотМенеджерапоИБ • КейссPOC- переиспользовалимодульодногозаказчика-конкурента, невырезалилоготипыдаже • Кейс снелицензионнымкодомидр.
  35. 35. Включить цели ИБ (security objectives) • ЦелиИБ(securityobjectives)должны бытьвключенывобщиецелипроекта (projectobjectives) • ЦелиИБоснованынаCIA (Confidentiality,Integrity,Availability) • Сохранитьконфиденциальностьданных заказчика(testdata,projectdataetc.) • Целипособлюдениюстандартов шифрованияикриптографии • Сохранитьцелостностьрепозитариевс кодом
  36. 36. Произвести анализ рисков ИБ • ПроизвестианализрисковИБнараннейстадиипроекта (совместнособщиманализомрисков) • Часто,рискинапрямуюследуютизцелейИБ • рискисвязанныеснарушениемцелостностирепозиториевкода, • доступностьсерверов,конфиденциальностьсредств коммуникации
  37. 37. Произвести анализ рисков ИБ Анализрисков–долженбыть основаннабизнес-реальности Реальностьзависит–отразмера проекта,оттипапроекта,от вашегоопытаит.д.
  38. 38. Интегрировать ИБ во все фазы процесса разработки ПО • Встраиваниедополнительных контрольныхточекв жизненныйциклразработкиПО • Накаждойфазежизненногоцикла,нарядус обычнымикритериями(качествокода,соответствие спецификацииит.п.),нужнопроверятьтребования ИБ
  39. 39. Пример интеграции ИБ в V-model Требования к ПО Технические решения Код Модульное тестирование Системное тестированиеТЕСТИРУЕТСЯ ТЕСТИРУЕТСЯ Ревью требований с точки зрения безопасности Ревью архитектуры с точки зрения безопасности Ручной аудит кода Практики Code Review Статический аудит кода Анализ результатов аудита Динамическое тестирование и тестирование на проникновение НАСТРОЙКА ПРАВИЛ НАСТРОЙКА ПРАВИЛ
  40. 40. Некоторые аспекты ИБ в процессе разработки ПО • Ревьютребований • Раздел–нефункциональныетребования. Связаносанализомрисков. • Ревьюархитектуры • Идентификацияииспользованиеsecuritydesignpatterns • Анализиспользуемыхплатформ,фреймворковипаттерновс т.зр.ИБ • КоммуникациясчленамикомандыпотемеИБ • Ручнойаудиткода(codereview) • Стандартныепрактикиcodereview • Использованиерасширенныхчеклистов–свключенными требованиямиИБ Secure the weakest link Keep it simple Fail securely Follow the principle of least privilege
  41. 41. Некоторые аспекты ИБ в процессе разработки ПО • Статическийанализкода • Использование специальныхинструментов дляанализакодана уязвимостиИБ • Тестынапроникновение (penetrationtests) • Использование специального инструментарияиметодик
  42. 42. Примеры уязвимостей • CodeInjection(SQLинъекция) невалидированныйпользовательскийввод,используемыйдля интерпретациикоманд,можетбытьиспользованзлоумышленниками длявыполнениянедокументированнойфункциональности • SensitiveDataExposure(Нарушениеконфиденциальности) конфиденциальныеданныепубликуютсявнезащищенныйканал.Тем самым,злоумышленникможетдостаточнопростополучитьдоступк даннымвобходсложныхмеханизмовзащитысистемы • UnreleasedResource:Streams вызываютнепредсказуемоеповедениесистемы.Незакрытыепотоки записиичтенияресурсовспособнывызыватьутечкупамятии/или утечкуинформацииосистемечерезнепредвиденныеошибкии исключениявработеприложения,вплотьдополнойегоостановки
  43. 43. Пример интеграции ИБ в waterfall Security and Privacy Risk Analysis Manual Code Review Threat Modeling Static Analysis Dynamic Analysis Security Architecture & Design Review Final Security Review Fuzz Testing Secure Design Guidelines Security and Privacy Requirements REQUIREMENTS IMPLEMENTA TION Regulations, Policies and Standards Secure Coding Guidelines Quality Gates /Bug Bars Attack Surface Analysis RELEASE Security Deployment Review Automated Tools VERIFICATION DESIGN AND ARCHITECTURE Attack Surface Review
  44. 44. Пример интеграции ИБ в waterfall Обучение основам безопасно сти Задание требований безопасности Создание контрольных условий качества и панелей ошибок Оценка рисков безопасности и конфиденци- альности Задание требования проектирова ния Анализ возможных направлений атак Моделирован ие рисков Применение утвержденн ых инструмен тов Отказ от небезопасн ых функций Статический анализ Динамическ ий анализ Нечеткое тестирова ние Проверка возможных направле ний для атак Планирова ние реагиро вания на инциденты Окончательн ая проверка безопас ности Архивация выпуска Выполне ние плана реагирова ния на инциденты Обучение Требования Дизайн Реализация Проверка Выпуск Реакция
  45. 45. Пример интеграции ИБ в Agile
  46. 46. Комплексный подход по обеспечению безопасной разработки ПО • SAMM - Software Assurance Maturity Model http://www.opensamm.org • Может быть адаптирована под любую компанию • Позволяет оценивать усилия на проект, описывает кто вовлечен, какие метрики необходимы и др.
  47. 47. Другие важные моменты для РП Взаимодействие сзаказчиком • ВовремяпропиаритьсвойИБ уровень,предложитьработатьпо «нашим»методам • ОсобоевниманиенаИБ требованиязаказчика(случайс проверкойкоданаподлинность-> вылилосьв+неск.месяцев переработок) • Оборудованиезаказчика–учет, использование,возврат(!)
  48. 48. Другие важные моменты для РП • Взаимодействие споставщиками/вендорами • Четкий,содержащийтребованияИБдоговор • Вчастности,соблюдениевендоромвнутреннихправил компаниипоИБ • Найти спонсора для ИБ • Обычно,этозаказчик • Номожетбытьироднаяфирма,если стратегическизаинтересованавзаказчикеи проекте
  49. 49. Другие важные моменты для РП • Ревьюправдоступа напроекте • Newcomer • Сотрудникуволился • Проектзавершился(закрытиетекущихправ) • Действуй на основании классификации информации • Public/Internal/Secret
  50. 50. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ
  51. 51. Что должен уметь достичь каждый ПМ? • Завершитьпроектвсрок, бюджет,стребуемым качеством • Заказчикдолженбыть счастлив • Остальныесчастливы (членыкоманды, руководство,семья) • Вовсемэтомне упоминается,чтоПМтоже долженостатьсясчастлив • Получитьопыт, самореализоваться, научитьсяновому, подготовитьсякследующим вызовам • Статьболее профессиональным • ВтомчислевобластиИБ
  52. 52. Роль РП в процессе внедрения ИБ • РольРПвобластивнедрениятребованийИБна проекте-ключевая. • Реальнаявластьнадлюдьми–уРП • ЕслиРПпонимаетважностьИБ,тоиостальныепоймут • Инаборот
  53. 53. Заключение • Неигнорируйтеправила ИБ • Применяйтетребования ИБ,исходяизреальности • “Securityisaprocess,not aproduct!”[Bruce Schneier]
  54. 54. Ссылки • InformationSecurityandtheSDLCbyRonClement • SAMM - Software Assurance Maturity Model http://www.opensamm.org
  55. 55. Спасибо за внимание Алексей Евменков evmenkov@gmail.com isqa.ru https://twitter.com/evmenkov

Editor's Notes

  • Например,
  • Кто то приносит и втыкает свой лаптоп, или другой девайс в сетку – границы организации тяжело зафиксировать
    Похищают данные с сайтов
    Данные текут постоянным потоком – вопрос в том, ищет ли их кто-нибудь
  • ФЗ-152
    Внутренние проблемы – разный язык – даже у разных юнитов
  • Пост изменения бизнес условий
  • Не нужно для стартапов оценивать специфические риски двойного бэкапирования и т.п.

  • https://www.owasp.org/index.php/Attack_Surface_Analysis_Cheat_Sheet
  • Например,

    • ×