Применение риск-ориентированных стандартов для обеспечения комплексной безопа...Илья Лившиц
В предлагаемой работе предложены некоторые подходы к решению проблемы обеспечения постоянного улучшения результативности СМ (ИСМ) промышленных предприятий, как СлПО на основе современных риск-ориентированных стандартов (серии 9001, 20000, 22301, 27001). Учитывая относительную новизну данных стандартов в практическом применении к исследуемой проблеме, предлагаемые подходы могут быть полезными при планировании системы риск-менеджмента (на базе стандарта 31000) и оценки возможных потерь в рамках бизнес-процессов СМ (ИСМ), а также, в частности, для решения практических задач – обеспечения комплексной безопасности.
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Применение риск-ориентированных стандартов для обеспечения комплексной безопа...Илья Лившиц
В предлагаемой работе предложены некоторые подходы к решению проблемы обеспечения постоянного улучшения результативности СМ (ИСМ) промышленных предприятий, как СлПО на основе современных риск-ориентированных стандартов (серии 9001, 20000, 22301, 27001). Учитывая относительную новизну данных стандартов в практическом применении к исследуемой проблеме, предлагаемые подходы могут быть полезными при планировании системы риск-менеджмента (на базе стандарта 31000) и оценки возможных потерь в рамках бизнес-процессов СМ (ИСМ), а также, в частности, для решения практических задач – обеспечения комплексной безопасности.
Хакеры, скандальные утечки данных, целые отделы, занимающиеся вопросами ИБ в компании - все это больше из области теле-новостей про фирмы-гиганты. Но, "плачут не только богатые". У обычных небольших организаций, и у обычных людей - вопросы ИБ занимают все более важное место.
В докладе будут даны рекомендации по ИБ для самых обычных организаций - небольших фирм от 10 сотрудников. Как хоть немного защититься в этом сложном информационном мире. Поговорим об ИБ - без фанатизма, без сертификации ИСО 27001 и без консультантов от "большой четверки".
Система консолидации управленческой и отчетной информации // Service Measurem...IBS
6 июня 2013 года в международном центре «ИнфоПространство» состоялся форум ITMF-2013, посвященный управлению ИТ-сервисами. В рамках программы эксперты IBS провели семинар «Ситуационный центр – строим нервную систему ИТ без нервов»
Главный риск не успешности проекта создания автоматизированной системы - это автоматизированная система не будет удовлетворять ожиданиям ее заказчика.
Главные способы сниженя риска неудовлетворенности проектным внедрением заказчиком:
* создание автоматизированной системы по отработанной технологии;
* документирование процесса ее разработки.
Семинар «Отказоустойчивость приложений – проблемы и простые решения. Выбор оптимального метода защиты для приложений различных классов».
Подробнее о мероприятии http://www.croc.ru/action/detail/1630/
Презентация Равиля Сафиуллина, менеджера проектов компании КРОК
The document discusses a survey of 225 global executives about their Sarbanes-Oxley (SOX) compliance functions. While most organizations treat SOX compliance as a necessary burden, some have evolved to view it as an opportunity for innovation, automation, and competitive advantage. These forward-thinking companies see correlations between SOX practices and adding value to the business. The document outlines four actions for empowering SOX functions: 1) automating controls, 2) offshoring lower-cost resources, 3) leveraging IT investments, and 4) innovating strategies.
This document discusses opportunities to transform a company's Sarbanes-Oxley (SOX) compliance function for competitive advantage. It identifies four actions: 1) automating manual controls to significantly reduce SOX costs and resource burden, 2) offshoring SOX functions for lower costs, 3) leveraging existing IT investments to improve SOX processes, and 4) innovating SOX execution strategically to enhance competitive positioning. A survey found that while most firms treat SOX as a compliance exercise, some have transformed their functions to drive value through automation, cost efficiencies, and strategic innovation around SOX practices.
This document discusses current trends in business continuity management. It notes that effective BCM is rising in importance for corporations due to increased complexity, tighter margins for error, and higher expectations for resilience and recovery times after disruptions. Leading trends that companies are adopting to improve their ability to manage emergencies and minimize impacts include implementing an enterprise-wide BCM framework and governance model, integrating business impact analysis and risk assessments, leveraging technologies like cloud computing and virtualization, and fully understanding application interdependencies for recovery.
The document discusses the evolving IT risk landscape for businesses as new technologies like mobile computing, cloud services, and social media break down barriers between work and personal life. This has increased risks around data leakage, third party dependencies, and regulatory compliance. Effective IT risk management is important for businesses to address these challenges and support overall enterprise risk management and business objectives. The document outlines an "IT Risk Universe" framework that identifies 11 key risk categories including security, resilience, data, and strategy alignment that companies can use to assess their IT risk exposure. How much a company relies on defensive IT versus offensive IT impacts the priorities for managing these IT risks.
Building control efficiency: Rationalization, optimization and redesign Vladimir Matviychuk
Increased government reporting requirements have forced those responsible for internal controls to do more. The global recession has required them to do more with less. While regulators press for accountability, investors press for performance. Now, those responsible for internal controls must now take charge by assessing their processes and tools, and execute on efforts to make them as efficient – and effective – as possible. Those able to optimize their controls will be more able to move past compliance toward improved performance and competitive advantage.
This document discusses advanced persistent threats (APTs) and provides recommendations for countering them. It notes that APTs target specific organizations over long periods to steal large amounts of sensitive information undetected. Traditional security methods are ineffective against APTs, which require new detection and response approaches using multiple layers of defense. The document recommends assuming infrastructure infiltration and granting response teams autonomy to investigate incidents. It also stresses hardening web browsers, mobile devices, and cloud applications against emerging attack vectors.
Organizations face increasing privacy challenges in 2011 due to factors such as:
1) Stricter privacy regulations and enforcement globally, with regulators planning expanded reach and tougher penalties.
2) Additional data breach notification requirements being adopted worldwide, requiring organizations to adapt processes.
3) Growing emphasis on governance, risk and compliance initiatives to better integrate privacy monitoring and reduce redundancies.
4) Issues around use of cloud computing and mobile devices, requiring organizations to implement controls over personal data use by third parties.
Overall organizations need robust strategies to proactively address evolving privacy requirements across diverse jurisdictions.
This document discusses the results of Ernst & Young's 2010 Global Information Security Survey. Some key findings include:
- 60% of respondents perceived an increase in risk due to new technologies like social media, cloud computing, and mobile devices.
- 46% planned to increase spending on information security.
- Increased workforce mobility and data leakage were significant challenges for many organizations.
- Many organizations are taking steps to address mobile security risks through policies, encryption, and identity management controls.
1. 18 ноября 2010 г.
Устойчивость систем и риски. Что важно знать
ИТ- руководителю?
«ALL OVER ANTIRISK IT» УСТОЙЧИВЫЕ
СИСТЕМЫ И РИСКИ: ТРЕБОВАНИЯ.
ОГРАНИЧЕНИЯ. ПРОБЛЕМЫ
Владимир Матвийчук, CISA, CISM, ITILF
2. 18 ноября 2010 г. Страница 2
Зависимость работы процессов
Бизнес-
процессы
Оборудование
Коммунальные
услуги
Здания Персонал
Производители /
поставщики
услуг
ИТ системы /
данные
3. 18 ноября 2010 г. Страница 3
Зачем компании необходимо планирование непрерывности
бизнеса?
► Обеспечить немедленную и правильную реакцию в чрезвычайной ситуации
► Защитить жизни людей и гарантировать их безопасность
► Минимизировать негативное влияние на бизнес компании
► Возобновить выполнение критичных для бизнеса функций
► Снизить беспорядок и неразбериху во время кризиса
► Обеспечить выживание бизнеса компании
► Обеспечить максимально быстрое восстановление функционирования после
аварии
4. 18 ноября 2010 г. Страница 4
Пять приоритетных направления деятельности в области
безопасности на предстоящие 12 месяцев*
1%
1%
1%
1%
1%
2%
1%
2%
3%
3%
4%
5%
7%
7%
8%
10%
16%
28%
1%
2%
3%
3%
3%
3%
4%
4%
5%
5%
10%
10%
9%
12%
12%
11%
3%
4%
4%
3%
4%
5%
5%
7%
6%
4%
8%
7%
10%
10%
9%
9%
2%
1%
4%
4%
5%
6%
6%
6%
5%
9%
5%
4%
8%
6%
9%
7%
5%
7%
1%
1%
2%
6%
3%
5%
7%
7%
6%
3%
11%
5%
5%
7%
5%
9%
5%
4%
7%
Найм сотрудников информационной безопасности
Улучшение процессов расследования / борьбе с мошенничеством
Передача функций информационной безопасности на аутсорсинг
Внедрение метрик информационной безопасности и отчетности по ним
Внедрение или улучшение внутренних процессов разработки ПО
Планы и средства реакции на инциденты
Обеспечение безопасности новых технологий
Тестирование функции обеспечения информационной безопасности
Технологии и процессы управления уязвимостями
Защита интеллектуальной собственности
Разработка внутренних программ повышения осведомленности и обучения…
Защита персональной информации
Внедрение стандартов безопасности (например, ISO/IEC 27002:2005)
Внедрение или совершенствование технологий и процессов управления доступом и…
Соблюдение нормативных требований организации
Управление рисками информационной безопасности
Внедрение или совершенствование технологий и процессов по предотвращению…
Соблюдение нормативных требований регуляторов
Планы и средства обеспечения восстановления после сбоев / непрерывности бизнеса
1й приоритет 2й приоритет 3й приоритет 4й приоритет 5й приоритет
* Результаты международного
исследование в области
информационной безопасности
Ernst & Young за 2010 год
В исследовании принимали
участие 1,598 компаний из 56
стран
5. 18 ноября 2010 г. Страница 5
Основные международные методологии и стандарты
Комплексные
► BCI (Business Continuity Institute)
► методология GPG (Good Practice Guide)
► 10 Standards BCI
► Стандарт BS 25999 (Управление непрерывностью бизнеса)
► BS 25999-1 (Code of practice)
► BS 25999-2 (Specification)
Только ИТ часть
► NIST SP 800-34 (Руководство по планированию непрерывности для ИТ-
систем)
► CobiT 4.1 (раздел «Обеспечение непрерывности услуг»)
► ISO 27001 (раздел «Управление непрерывностью бизнеса»)
► ITIL (раздел «Управление доступностью и непрерывностью»)
Отраслевые
► Постановление (№265) об обеспечении непрерывного функционирования
информационных систем Национального банка Украины и банков Украины
6. 18 ноября 2010 г. Страница 6
Перед началом
► Заручиться поддержкой руководства
► Назначить координатора (обычно выделенный business continuity manager)
► Сформировать комитет по планированию непрерывности из представителей
следующих подразделений:
► Высшее руководство
► Бизнес-подразделения
► Департамент ИТ
► Департамент безопасности
► Департамент по связям с общественностью
► Юридический департамент
7. 18 ноября 2010 г. Страница 7
Ключевые шаги при разработке плана обеспечения
непрерывности бизнеса
Разработка
стратегии
обеспечения
непрерывности
Тестирование,
поддержка и
изменение
Оценка угроз
и рисков
Оценка влияния
сбоев и
прерываний
на бизнес
Разработка
планов
восстановления
после сбоев
Разработка плана
непрерывности
бизнеса
Разработка
программы
антикризисного
управления
Фаза 1 Фаза 2 Фаза 3 Фаза 4
8. 18 ноября 2010 г. Страница 8
Оценка влияния сбоев и прерываний на
бизнес
► Определить приоритеты для всех критических процессов, функций, активов
ИТ подразделения и описать профили устойчивости к простою для этих
критичных ИТ процессов, функций и активов
► Определить области действия планов обеспечения непрерывности и целевое
время восстановления для наиболее критичных ИТ процессов, функций и
активов согласно их приоритету
9. 18 ноября 2010 г. Страница 9
Проанализировать сценарии, которые приведут к
недоступности критичных компонентов
Бизнес-
процессы
Оборудование
Коммунальные
услуги
Здания Персонал
Производители /
поставщики
услуг
ИТ системы /
данные
10. 18 ноября 2010 г. Страница 10
Пример оценки влияния сбоев и прерываний
Оценка ущерба для бизнеса
Доступность
Знач. Вид ущерба
Уровень ущерба
A-Очень высокий, B-Высокий, C-Средний, D-Низкий, E-Очень низкий
Длительность простоя
Час День 2-3 дня Неделя Месяц
Финансовые
F1 Потеря продаж, заказов или контрактов B B B A A
F2 Потеря материальных активов E D C C C
F3 Штрафные санкции / правовая ответственность E D C C C
F4 Увеличение затрат E D C C B
Операционные
O1 Потеря административного контроля E D C B B
O2 Утрата конкурентного преимущества E D C C C
O3 Задержка инвестиционных проектов E D B B A
O4 Нарушение действующих процедур и политик E E E E E
Относящиеся к клиенту
C1 Потеря покупателей или клиентов E D C C C
C2 Потеря доверия ключевыми сторонами E D C C B
C3 Задержки в поставках продукции E D C C C
C4 Урон репутации E D C C C
Относящиеся к сотруднику
E1 Ущерб или смерть E E E E E
Общая оценка
Какой наибольший итоговый ущерб возможен в результате простоя системы?
Час День 2-3 дня Неделя Месяц
C B B A A
Общая оценка
Какое время восстановления системы является критичным для бизнеса (например,
временной промежуток, простой более которого является неприемлемым для бизнеса)?
Час День 2-3 дня Неделя Месяц
X
11. 18 ноября 2010 г. Страница 11
Показатели восстановления
► Срок восстановления (Recovery Time Objective, RTO) – максимальное время, за которое
процесс (или система) должен быть восстановлен с обеспечением требуемого уровня
качества
► Допустимый размер потерь информации (Recovery Point Objective, RPO) –
максимальное время, потеря данных за которое допустима для данного бизнес
процесса
Утерянная
информация
Последняя
резервная копия/
репликация
Системы и
ресурсы
недоступны
Восстановление с
последней резервной
копии и выполнение
операций в очереди
Восстановление
системы/
ресурса
RTO
Инцидент
RPO
Возобновление
работы
Допустимый
уровень
операции
Потеря данных Потеря услуги
12. 18 ноября 2010 г. Страница 12
Оценка угроз и рисков
► Идентифицировать определенные события и угрозы, которые могут оказать
негативное влияние на деятельность компании и ее ресурсы
► Определить последствия таких событий, а также высокоуровневые контроли,
нацеленные на предотвращение или минимизацию потенциальных убытков
► Провести анализ последствий каждой из угроз и вычисление относительного
веса (чем выше относительный вес угрозы, тем более критично наличие в
стратегии ее минимизации)
► Провести оценку текущего состояния контролей, нацеленных на минимизацию
выявленных угроз
► Разработать план по улучшению системы контролей и/или внедрению
дополнительных контрольных мер
13. 18 ноября 2010 г. Страница 13
13
Разработка стратегии обеспечения непрерывности
Восстановление
«с нуля»
«Холодная» площадка
«Горячая» площадка
Период простоя
Стоимостьрешения
Потери
«Теплая» площадка
День Дни НеделиЧасы
14. 18 ноября 2010 г. Страница 14
Разработка стратегии обеспечения
непрерывности
► Разработать необходимое количество стратегических сценариев обеспечения
непрерывности бизнеса, основываясь на категориях процессов,
определенных в ходе анализа влияния на бизнес
► Провести оценку каждого из стратегических сценариев на основе
предварительно определенных и согласованных критериев (таких как
результаты анализа стоимости и выгод, осуществимости и т.д.)
15. 18 ноября 2010 г. Страница 15
Разработка плана обеспечения
непрерывности
► Разработать план обеспечения непрерывности деятельности, который
должен соответствовать выбранной стратегии и обеспечивать достижение
целей восстановления в рамках установленного времени
► Разработать план восстановления работоспособности после сбоев
16. 18 ноября 2010 г. Страница 16
Содержание плана восстановления работоспособности
► Цель
► Необходимые ресурсы
► Требования к резервированию
► Целевые временные рамки восстановления
► Приоритеты
► Количество пользователей системы
► Информация о бизнес-владельцах и технических владельцах
► Взаимосвязи с другими системами
17. 18 ноября 2010 г. Страница 17
Содержание плана обеспечения непрерывности
► Процедура инициирования
► Постановка задачи
► Структура плана обеспечения непрерывности деятельности
► Детальные роли, обязанности, ответственность и квалификация персонала,
вовлеченного в процесс
► Инструкции по оповещению, активации плана и эскалации
► Поддержка плана в актуальном состоянии
► Кризисное управление
► Взаимодействие с соответствующими внешними сторонами
18. 18 ноября 2010 г. Страница 18
Тестирование, поддержка и
изменение
► Разработать нормативную базу обеспечения непрерывности:
► Политики и процедуры обеспечения непрерывности
► Организационная структура
► Разработать нормативную базу для поддержания планов обеспечения
непрерывности бизнеса в адекватном состоянии
► Провести тестирование планов и выполнять его в дальнейшем не реже раза в
год
19. 18 ноября 2010 г. Страница 19
Что осталось «за кадром»
► Альтернативы собственным резервным площадкам
► Арендованные ЦОДы
► Распределенные системы и виртуализация
► Облачные вычисления
► Вопросы обеспечения безопасности
► Помещения, системы и т.д. на резервной площадке должны
соответствовать требованиям информационной безопасности
► Сервисы информационной безопасности могут быть не доступны в
результате инцидента
20. 18 ноября 2010 г. Страница 20
Вопросы?
Спасибо за внимание!
Владимир Матвийчук, CISA, CISM, ITILF
Услуги в области информационных технологий и ИТ рисков
+38 (067) 536-0-536
Volodymyr.Matviychuk@ua.ey.com