Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

СМИБ - игра в долгую

656 views

Published on

Насколько долгую? На всю жизнь. Чью жизнь? Организации, мою?

Published in: Internet
  • Be the first to comment

  • Be the first to like this

СМИБ - игра в долгую

  1. 1. СМИБ - игра в долгую Алексей Евменков, Директор ИБ ISsoft, isqa.ru
  2. 2. Представление • Специалист (CISM) по ИБ в ИТ области • Внедряю и подготавливаю к сертификации ИСО 27001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации ИСО 27001 - РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект ИСО 27001 сертификация компании Exadel • Директор ИБ в компании ISsoft, строим целостную СМИБ • Веду блог по ИБ и процессам isqa.ru 2
  3. 3. СМИБ – это игра в долгую, а не проект • СМИБ может (должна) начинаться как проект, • Но продолжаться должна как процесс 3
  4. 4. Игра в долгую? • Игра в долгую - означает на всю жизнь • Жизнь проекта? Организации? Своей жизни? • Жизнь организации • Моя профессиональная жизнь 4
  5. 5. Почему нужно готовиться к игре в долгую? • Вроде все понятно, но обычно мы об этом не задумываемся • Рано или поздно придется 5
  6. 6. #1: Настоящей защищенности не существует Факты из кибервойн@ — Шейн Харрис • Производители создают бэкдоры в аппаратных и программных продуктах • Договоренности АНБ с Google, Microsoft, Amazon и др. –> наша информация доступна для властей, «когда нужно» • Специализированные отделы (АНБ, Китайские подразделения) работают день и ночь .. ломая защиту вашей организации 6 Надежда средней организации – их данные никому не нужны
  7. 7. #2: рано или поздно вы станете интересны • Прогресс не стоит на месте, успешные организации выстраивают процессы, приумножают ценность своих (информационных) активов • Которые вдруг становятся интересными другим • Встречу крокодила – вероятность 50 на 50 (с) • Обычная математика • Тенденции «прозрачности» • Мир становится лучше, но частной жизни больше не будет • См. «Цифророжденные»
  8. 8. #3 поэтому нужно строить «вдолгую» • мы «беззащитны», но как-бы никому не нужны, • вообще-то рано или поздно кому-то понадобимся • вывод - сам о себе не позаботишься, никто не позаботится 8
  9. 9. Строим СМИБ в долгую Чтобы по процессу, надежно, основательно.. 9
  10. 10. Хотим в долгую, но в жизни все быстрее • История про динозавра, про скорость принятия решений, про важность принятия решения через ж. • Да. Решения принимались ж*пой, но это - вынужденный компромисс. • Работая в крупной компании, не удивляйтесь, что многие вопросы решаются «через ж*пу». • Решение головой может занять несколько лет • Дело в том, что вопросы ИБ часто решается через ж, • и в целом это неплохо, если недолго • Плохо если застрять в этом 10
  11. 11. • То, с чем нужно побороться • Основной мозг должен принимать стратегические решения • Куда пойти (чтобы была еда) 11
  12. 12. Упорство и непрерывность • Всегда не хватает ресурсов, знаний, компетенций • Среди нас немного гениев и красавцев • Строить защиту последовательно, неуклонно. 12
  13. 13. Строим идеальную СМИБ? • «Идеального» не существует • Но имеется «нужная» для конкретной организации/бизнеса • Нужно иметь базу, свою, личную – модель/концепцию • Пришла пора включить главный мозг, а не тот что ж. 13
  14. 14. Идеальная СМИБ) Анализ и обработка рисков Внедрение защитных мер
  15. 15. Процесс построения идеальной СМИБ 15 • Минимальный набор • Только основные меры Создание основы • Следование выбранной концепции • Отклик на встретившиеся риски/инциденты Улучшение
  16. 16. Что выбрать/улучшать? • В зависимости от контекста – бизнес или гос, требуемая степень формальности, работа с зарубежьем? • Что лучше знаешь и умеешь – строй на основе доступного опыта
  17. 17. Долгая СМИБ: модель/концепция (пример) 17 СМИБ InfoSec processes Risks Incidents Audit Пререквизиты • Процессно- документная база • Организация ИБ Compliance Cisco SAFE IT & InfoSec Infrastructure Network Security InfoSec Controls Access Control Asset mgmt. Backup mgmt. Antivirus System updating Security Monitoring Business continuity CryptographyHR Security Physical Security InfoSec for Suppliers Application security InfoSec measure ZZZ
  18. 18. 18 Пример выбора набора минимальных мер
  19. 19. 19 NISTIR 7621 Small Business Information Security: The Fundamentals Пример выбора набора минимальных мер
  20. 20. SAFEModel 20 Пример концепции ИБ/ИТ – для моей «долгой СМИБ»
  21. 21. Риски • Самое тяжелое, выматывающее. • Не рекомендуется пользоваться шаблонами/заготовками • Пч. они лишают жизни и реальности. Ты пишешь только лишь п.ч. вроде правда • Но нужно кровью и соплями – проходить риск за риском, пройтись по всем активам, за год или два. • А шаблоны – только лишь как чеклисты использовать, как генератор идей. 21 Результаты рисков – целостная СМИБ, мы ничего не пропустили.
  22. 22. Инциденты • Максимальное упрощение процесса для сотрудников • «Устная» регистрация • Профессиональная обработка Incident Response Team • Детальный учет, отдельная система трекинга • Анализ причин! • Инциденты нужно обрабатывать массово • «легко и непринужденно» • Создается база, множество новых задач/идей • Управление инцидентами – часть культуры компании 22 Результаты инцидентов – идеи/задачи для СМИБ – идущие напрямую из бизнеса!
  23. 23. Аудиты • Неотвратимость, и для всех уже ок • Определить область покрытия, по каким критериям (например, не менее 25% бизнеса) • Чеклисты подготовить, но это всего лишь направляющие • Управление несоответствиями – анализ причин! 23 Результаты аудитов – идеи/задачи для СМИБ – идущие напрямую из бизнеса!
  24. 24. Защитные меры • Сначала основные (даже не сомневаясь) • Затем строить свою концепцию, свою СМИБ • Риски/инциденты/аудиты -> реальное знание, направление для развития • Стандарты, практики – теоретическая основа, источник идей • Крепкий IT infrastructure – залог правильной СМИБ • Проработка архитектуры сети, концепции сетевой безопасности 24 IT & InfoSec Infrastructure Network Security InfoSec Controls Access Control Asset mgmt. Backup mgmt. Antivirus System updating
  25. 25. Союз ИТ и ИБ ИТ и ИБ – одинаково близки к телу бизнеса
  26. 26. Личное развитие • Игра в долгую - означает на всю жизнь • Жизнь не только организации, но и на мою собственную • Мой шанс – лишь в постоянном проф. развитии • Личная стратегия развития • Крепкое основание и контекст (ИТ/банк, менеджер/технарь, страна, семья) • Видение на несколько лет • Отдельные темы: практика, сертификация, внешний бизнес 26
  27. 27. Личное развитие – «славянские» мотиваторы • Пенсии не будет • Технологии изменяются • Нейросети, блокчейн, искусственный разум • Я не боюсь быть замененным • Но боюсь остановиться, п.ч. тогда точно меня заменят • Вопрос личной профпригодности – никогда не задавали себе? 27
  28. 28. Играем в долгую • Упорство и непрерывность • А что еще делать? (с) • Это то, что сделает проффи из любого • То, что сделает СМИБ рабочей в любой организации 28
  29. 29. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Создание СМИБ на основе требований ИСО 27001 Полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002. Как пройти сертификацию ИСО 27001. 2х дневный курс, см. информацию по ссылке: http://edu.softline.by/courses/smib.html
  30. 30. 30 Зорко наблюдаем!
  31. 31. Крепко держим свою информацию! 31

×