Совместный доклад Баскакова А. В. (АРСИБ), Алёшина В. Д., Ёрхова Е. В. на тему "Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса" на Ciso Forum 2014
Какое отличие генериковых и оригинальных стартапов?
Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса
1. Как заставить работать
неработающие стандарты?
Методология управления безопасностью
бизнеса
Баскаков А. В. (АРСИБ), Алёшин В. Д., Ёрхов Е. В.
РАНХ и ГС
при Президенте РФ
2. • Как выглядит процесс управления ИБ?
• Роли участников этого процесса?
• Как применять модель процесса к
различному типу, размеру,
специфическим особенностям
организации?
• Почему сертификация по стандарту не
дает гарантии управления
безопасностью?
• Какие есть способы верификации
процесс управления ИБ?
2
3. Проблемы применения стандарта ISO /
IEC 27001:2005
• В стандарте используется вербальное описание.
• Уровень изложения материала в стандарте достаточно
общий. Вопросы практической реализации остаются “за
кадром”. Это вызывает серьезные трудности для
практического применения требований стандартов.
• Используется только уровень стратегического управления
(PDCA).
• Не прописан механизм обратной связи в соответствии с
требованиями стандарта и анализа предпринятых
корректирующих действий, не указан механизм
превентивных действий и т.д.
• Нет четкого распределения ролей участников процессов
при реализации требований стандарта.
8. Современные модели зрелости
8
Open
Information
Security
Management
Maturity
Model (O-
ISM3)
Enterprise
Information
Management
Maturity
Model (EIM
MM)
NISTIR-7358
методология
PRISMA
Community
Cyber
Security
Maturity
Model
(CCSMM)
разработана
независимым
консорциумом
The Open Group
разработана
Gartner, Inc
разработана
National Institute
of Standards and
Technology
разработана The
Center for
Infrastructure
Assurance and
Security The
University of Texas
9. Адаптивная модель зрелости
9
Часть 1. Обеспеченность
условиями для внедрения
процесса
• Стратегия бизнеса
• Выделение ресурсов на ИБ
• Учет инцидентов
• Распределение ролей и
ответственности за ИБ
• Учет стандартов по ИБ
Часть 2. Степень
реализации процессов
безопасности
• Стратегия и политика
безопасности
• Угрозы, цели защиты,
карта рисков
• Управление контрмерами
• Регулирование
обеспечения
непрерывности
безопасности бизнеса
10. Алёшин Владимир Дмитриевич
РАНХ и ГС при Президенте РФ, профессор
aleshin_vladimir@mail.ru
Баскаков Александр Владимирович
Начальник группы по ИБООО “ТЦ Комус”
Ведущий аудитор по стандарту ISO/IEC 27001:2005
Выпускник Школы ИТ-менеджмента РАНХ и ГС
baskav@rbcmail.ru
Ёрхов Евгений Владимирович
Генеральный директор ООО “IXI лаборатория защиты информации”
Выпускник Школы ИТ-менеджмента РАНХ и ГС
yy@ixi.ru
10
Спасибо за внимание!