SlideShare a Scribd company logo

Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса

Infor-media
Infor-media

Совместный доклад Баскакова А. В. (АРСИБ), Алёшина В. Д., Ёрхова Е. В. на тему "Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса" на Ciso Forum 2014

Business
1 of 10
Download to read offline
Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса Баскаков А. В. (АРСИБ), Алёшин В. Д., Ёрхов Е. В. РАНХ и ГС при Президенте РФ
• Как выглядит процесс управления ИБ? • Роли участников этого процесса? • Как применять модель процесса к различному типу, размеру, специфическим особенностям организации? • Почему сертификация по стандарту не дает гарантии управления безопасностью? • Какие есть способы верификации процесс управления ИБ? 2
Проблемы применения стандарта ISO / IEC 27001:2005 • В стандарте используется вербальное описание. • Уровень изложения материала в стандарте достаточно общий. Вопросы практической реализации остаются “за кадром”. Это вызывает серьезные трудности для практического применения требований стандартов. • Используется только уровень стратегического управления (PDCA). • Не прописан механизм обратной связи в соответствии с требованиями стандарта и анализа предпринятых корректирующих действий, не указан механизм превентивных действий и т.д. • Нет четкого распределения ролей участников процессов при реализации требований стандарта.
Управлять непрерывностью безопасности бизнеса (A0)
5 Регулировать обеспечение непрерывности безопасности бизнеса (A4)
Внутренний и внешний взгляды на систему обеспечения непрерывности бизнеса
Категории тестов в методике OSSTMM
Современные модели зрелости 8 Open Information Security Management Maturity Model (O- ISM3) Enterprise Information Management Maturity Model (EIM MM) NISTIR-7358 методология PRISMA Community Cyber Security Maturity Model (CCSMM) разработана независимым консорциумом The Open Group разработана Gartner, Inc разработана National Institute of Standards and Technology разработана The Center for Infrastructure Assurance and Security The University of Texas
Адаптивная модель зрелости 9 Часть 1. Обеспеченность условиями для внедрения процесса • Стратегия бизнеса • Выделение ресурсов на ИБ • Учет инцидентов • Распределение ролей и ответственности за ИБ • Учет стандартов по ИБ Часть 2. Степень реализации процессов безопасности • Стратегия и политика безопасности • Угрозы, цели защиты, карта рисков • Управление контрмерами • Регулирование обеспечения непрерывности безопасности бизнеса
Алёшин Владимир Дмитриевич РАНХ и ГС при Президенте РФ, профессор aleshin_vladimir@mail.ru Баскаков Александр Владимирович Начальник группы по ИБООО “ТЦ Комус” Ведущий аудитор по стандарту ISO/IEC 27001:2005 Выпускник Школы ИТ-менеджмента РАНХ и ГС baskav@rbcmail.ru Ёрхов Евгений Владимирович Генеральный директор ООО “IXI лаборатория защиты информации” Выпускник Школы ИТ-менеджмента РАНХ и ГС yy@ixi.ru 10 Спасибо за внимание!

Recommended

тема смк для по_29 сентября 2016
тема смк для по_29 сентября 2016тема смк для по_29 сентября 2016
тема смк для по_29 сентября 2016
maggywo
 
Scrum в управлении проектами
Scrum в управлении проектамиScrum в управлении проектами
Scrum в управлении проектами
Ruslan Dashkin
 
Новые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияНовые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентация
Andrey Olyenkov
 
Лидер создает себя сам
Лидер создает себя самЛидер создает себя сам
Лидер создает себя сам
Всеукраинский Форум "Развитие производственных систем"
 
В.А. Гомболевский «Стандартизация описания протоколов исследований»
В.А. Гомболевский «Стандартизация описания протоколов исследований»В.А. Гомболевский «Стандартизация описания протоколов исследований»
В.А. Гомболевский «Стандартизация описания протоколов исследований»
mosgorzdrav
 
аудит
аудитаудит
аудит
trenders
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
cnpo
 
Как защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нееКак защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нее
Алексей Волков
 

Recommended

тема смк для по_29 сентября 2016
тема смк для по_29 сентября 2016тема смк для по_29 сентября 2016
тема смк для по_29 сентября 2016
maggywo
 
Scrum в управлении проектами
Scrum в управлении проектамиScrum в управлении проектами
Scrum в управлении проектами
Ruslan Dashkin
 
Новые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентацияНовые требования ISO 9001 - ознакомительная презентация
Новые требования ISO 9001 - ознакомительная презентация
Andrey Olyenkov
 
Лидер создает себя сам
Лидер создает себя самЛидер создает себя сам
Лидер создает себя сам
Всеукраинский Форум "Развитие производственных систем"
 
В.А. Гомболевский «Стандартизация описания протоколов исследований»
В.А. Гомболевский «Стандартизация описания протоколов исследований»В.А. Гомболевский «Стандартизация описания протоколов исследований»
В.А. Гомболевский «Стандартизация описания протоколов исследований»
mosgorzdrav
 
аудит
аудитаудит
аудит
trenders
 
Почему нужна лицензия
Почему нужна лицензияПочему нужна лицензия
Почему нужна лицензия
cnpo
 
Как защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нееКак защитить свои права при проверке и после нее
Как защитить свои права при проверке и после нее
Алексей Волков
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
 
Politics
PoliticsPolitics
Politics
cnpo
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
ghdffds
 
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Roman Isaev
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
Илья Лившиц
 
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Darja Varlamova
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
презентация сураевой н.а
презентация сураевой н.апрезентация сураевой н.а
презентация сураевой н.а
suraeva_na
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
Alex Babenko
 
Семинар "Построение и организация функционирования системы менеджмента качест...
Семинар "Построение и организация функционирования системы менеджмента качест...Семинар "Построение и организация функционирования системы менеджмента качест...
Семинар "Построение и организация функционирования системы менеджмента качест...
Roman Isaev
 
Бизнес процессы. методы контроля
Бизнес процессы. методы контроляБизнес процессы. методы контроля
Бизнес процессы. методы контроля
Тетервак Дмитрий
 
п2
п2п2
п2
student_kai
 
Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...
Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...
Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...
Infor-media
 
Quality Management System
Quality Management SystemQuality Management System
Quality Management System
Aleksei Beloshytski
 
Контрольный список для проверки требований
Контрольный список для проверки требованийКонтрольный список для проверки требований
Контрольный список для проверки требований
Ivan Shamaev
 
Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Олег Афанасьев. Проект. Стандартизация работы компании-2012.Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Oleg Afanasyev
 
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Roman Isaev
 
Определение и описание процессов
Определение и описание процессовОпределение и описание процессов
Определение и описание процессов
Mikhail Kalinin
 
Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...
Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...
Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...
Infor-media
 
Эффект от внедрения проектного управления. Исследования и выводы Павел Алферов
Эффект от внедрения проектного управления. Исследования и выводы Павел АлферовЭффект от внедрения проектного управления. Исследования и выводы Павел Алферов
Эффект от внедрения проектного управления. Исследования и выводы Павел Алферов
Infor-media
 

More Related Content

Similar to Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса

Politics
PoliticsPolitics
Politics
cnpo
 
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Roman Isaev
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
Илья Лившиц
 
презентация сураевой н.а
презентация сураевой н.апрезентация сураевой н.а
презентация сураевой н.а
suraeva_na
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
Alex Babenko
 
Семинар "Построение и организация функционирования системы менеджмента качест...
Семинар "Построение и организация функционирования системы менеджмента качест...Семинар "Построение и организация функционирования системы менеджмента качест...
Семинар "Построение и организация функционирования системы менеджмента качест...
Roman Isaev
 
Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Олег Афанасьев. Проект. Стандартизация работы компании-2012.Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Oleg Afanasyev
 
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Roman Isaev
 

Similar to Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса (20)

Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБПрактика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
 
Politics
PoliticsPolitics
Politics
 
Стандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptxСтандарты по управлению ИБ (1).pptx
Стандарты по управлению ИБ (1).pptx
 
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
Семинар "Бизнес-процессы в коммерческом банке: описание, оптимизация, регламе...
 
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
К ВОПРОСУ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ ПРИ ВНЕДРЕНИИ СИСТЕМ МЕНЕДЖМЕНТА ИНФОРМАЦИО...
 
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренингаИСО 27001 и СМИБ. Теория и практика - обзор тренинга
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
презентация сураевой н.а
презентация сураевой н.апрезентация сураевой н.а
презентация сураевой н.а
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 
Семинар "Построение и организация функционирования системы менеджмента качест...
Семинар "Построение и организация функционирования системы менеджмента качест...Семинар "Построение и организация функционирования системы менеджмента качест...
Семинар "Построение и организация функционирования системы менеджмента качест...
 
Бизнес процессы. методы контроля
Бизнес процессы. методы контроляБизнес процессы. методы контроля
Бизнес процессы. методы контроля
 
п2
п2п2
п2
 
Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...
Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...
Михаил Маркевич, CISA, CISM, CISSP Руководитель направления «Информационная б...
 
Quality Management System
Quality Management SystemQuality Management System
Quality Management System
 
Контрольный список для проверки требований
Контрольный список для проверки требованийКонтрольный список для проверки требований
Контрольный список для проверки требований
 
Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Олег Афанасьев. Проект. Стандартизация работы компании-2012.Олег Афанасьев. Проект. Стандартизация работы компании-2012.
Олег Афанасьев. Проект. Стандартизация работы компании-2012.
 
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
Семинар "Разработка и реализация стратегии и показателей сбалансированной сис...
 
Определение и описание процессов
Определение и описание процессовОпределение и описание процессов
Определение и описание процессов
 

More from Infor-media

More from Infor-media (20)

Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...
Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...
Thomas Walenta, PgMP, PMP, PMI Fellow. Projects & Programs are two different ...
 
Эффект от внедрения проектного управления. Исследования и выводы Павел Алферов
Эффект от внедрения проектного управления. Исследования и выводы Павел АлферовЭффект от внедрения проектного управления. Исследования и выводы Павел Алферов
Эффект от внедрения проектного управления. Исследования и выводы Павел Алферов
 
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
Александра Чекарева Магистр права, Старший юрист. Дмитрий Беспалов Специалист...
 
Н.Зайцев Советник по ИТ Л’Этуаль "Визуальные цифровые технологии Digital sign...
Н.Зайцев Советник по ИТ Л’Этуаль "Визуальные цифровые технологии Digital sign...Н.Зайцев Советник по ИТ Л’Этуаль "Визуальные цифровые технологии Digital sign...
Н.Зайцев Советник по ИТ Л’Этуаль "Визуальные цифровые технологии Digital sign...
 
Инновационный подход к работе с аптечными сетями
Инновационный подход к работе с аптечными сетями Инновационный подход к работе с аптечными сетями
Инновационный подход к работе с аптечными сетями
 
Внедрение ERP в компании HOFF
Внедрение ERP в компании HOFFВнедрение ERP в компании HOFF
Внедрение ERP в компании HOFF
 
Пути применения антимонопольного законодательства к интеллектуальным правам
Пути применения антимонопольного законодательства к интеллектуальным правамПути применения антимонопольного законодательства к интеллектуальным правам
Пути применения антимонопольного законодательства к интеллектуальным правам
 
Опыт управления программой по строительству олимпийских объектов в г. Сочи
Опыт управления программой по строительству олимпийских объектов в г. Сочи Опыт управления программой по строительству олимпийских объектов в г. Сочи
Опыт управления программой по строительству олимпийских объектов в г. Сочи
 
«Управление эффективностью бизнеса в новой реальности»
«Управление эффективностью бизнеса в новой реальности»«Управление эффективностью бизнеса в новой реальности»
«Управление эффективностью бизнеса в новой реальности»
 
Создание собственной торговой марки: когда игра стоит свеч?
Создание собственной торговой марки: когда игра стоит свеч?Создание собственной торговой марки: когда игра стоит свеч?
Создание собственной торговой марки: когда игра стоит свеч?
 
Митигирование репутационных рисков компании
Митигирование репутационных рисков компанииМитигирование репутационных рисков компании
Митигирование репутационных рисков компании
 
Управление правовыми рисками в ОАО " Сибур Холдинг"
Управление правовыми рисками в ОАО " Сибур Холдинг"Управление правовыми рисками в ОАО " Сибур Холдинг"
Управление правовыми рисками в ОАО " Сибур Холдинг"
 
Проблемы и особенности обеспечения безопасности малобюджетных мобильных устро...
Проблемы и особенности обеспечения безопасности малобюджетных мобильных устро...Проблемы и особенности обеспечения безопасности малобюджетных мобильных устро...
Проблемы и особенности обеспечения безопасности малобюджетных мобильных устро...
 
Согласованный сбор информации: Секретное оружие вашей стратегии кибернетическ...
Согласованный сбор информации: Секретное оружие вашей стратегии кибернетическ...Согласованный сбор информации: Секретное оружие вашей стратегии кибернетическ...
Согласованный сбор информации: Секретное оружие вашей стратегии кибернетическ...
 
Опыт стратегического управления ИБ
Опыт стратегического управления ИБОпыт стратегического управления ИБ
Опыт стратегического управления ИБ
 
С чем представители фарм.компаний приходят сегодня в аптеку и кого ждет аптек...
С чем представители фарм.компаний приходят сегодня в аптеку и кого ждет аптек...С чем представители фарм.компаний приходят сегодня в аптеку и кого ждет аптек...
С чем представители фарм.компаний приходят сегодня в аптеку и кого ждет аптек...
 
Быть или не быть специализированному аптечному филдфорсу?
Быть или не быть специализированному аптечному филдфорсу?Быть или не быть специализированному аптечному филдфорсу?
Быть или не быть специализированному аптечному филдфорсу?
 
Сегментация розницы, как один из ключевых факторов для торгового маркетинга
Сегментация розницы, как один из ключевых факторов для торгового маркетингаСегментация розницы, как один из ключевых факторов для торгового маркетинга
Сегментация розницы, как один из ключевых факторов для торгового маркетинга
 
Угрозы фармрынка -2015
Угрозы фармрынка -2015Угрозы фармрынка -2015
Угрозы фармрынка -2015
 
Какое отличие генериковых и оригинальных стартапов?
Какое отличие генериковых и оригинальных стартапов? Какое отличие генериковых и оригинальных стартапов?
Какое отличие генериковых и оригинальных стартапов?
 

Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса

  • 1. Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса Баскаков А. В. (АРСИБ), Алёшин В. Д., Ёрхов Е. В. РАНХ и ГС при Президенте РФ
  • 2. • Как выглядит процесс управления ИБ? • Роли участников этого процесса? • Как применять модель процесса к различному типу, размеру, специфическим особенностям организации? • Почему сертификация по стандарту не дает гарантии управления безопасностью? • Какие есть способы верификации процесс управления ИБ? 2
  • 3. Проблемы применения стандарта ISO / IEC 27001:2005 • В стандарте используется вербальное описание. • Уровень изложения материала в стандарте достаточно общий. Вопросы практической реализации остаются “за кадром”. Это вызывает серьезные трудности для практического применения требований стандартов. • Используется только уровень стратегического управления (PDCA). • Не прописан механизм обратной связи в соответствии с требованиями стандарта и анализа предпринятых корректирующих действий, не указан механизм превентивных действий и т.д. • Нет четкого распределения ролей участников процессов при реализации требований стандарта.
  • 6. Внутренний и внешний взгляды на систему обеспечения непрерывности бизнеса
  • 7. Категории тестов в методике OSSTMM
  • 8. Современные модели зрелости 8 Open Information Security Management Maturity Model (O- ISM3) Enterprise Information Management Maturity Model (EIM MM) NISTIR-7358 методология PRISMA Community Cyber Security Maturity Model (CCSMM) разработана независимым консорциумом The Open Group разработана Gartner, Inc разработана National Institute of Standards and Technology разработана The Center for Infrastructure Assurance and Security The University of Texas
  • 9. Адаптивная модель зрелости 9 Часть 1. Обеспеченность условиями для внедрения процесса • Стратегия бизнеса • Выделение ресурсов на ИБ • Учет инцидентов • Распределение ролей и ответственности за ИБ • Учет стандартов по ИБ Часть 2. Степень реализации процессов безопасности • Стратегия и политика безопасности • Угрозы, цели защиты, карта рисков • Управление контрмерами • Регулирование обеспечения непрерывности безопасности бизнеса
  • 10. Алёшин Владимир Дмитриевич РАНХ и ГС при Президенте РФ, профессор aleshin_vladimir@mail.ru Баскаков Александр Владимирович Начальник группы по ИБООО “ТЦ Комус” Ведущий аудитор по стандарту ISO/IEC 27001:2005 Выпускник Школы ИТ-менеджмента РАНХ и ГС baskav@rbcmail.ru Ёрхов Евгений Владимирович Генеральный директор ООО “IXI лаборатория защиты информации” Выпускник Школы ИТ-менеджмента РАНХ и ГС yy@ixi.ru 10 Спасибо за внимание!