Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
Презентация Акатьевой Марии,
заместителя директора департамента продуктов и услуг компании LETA
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...LETA IT-company
Презентация Акатьевой Марии,
заместителя директора департамента продуктов и услуг компании LETA
проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Как довести проект по информационной безопасности до умаInfoWatch
Как довести ИБ-проект до ума? Как и когда лучше преподнести проект руководству? Как обосновать бюджет на имиджевый ИБ-проект? Что такое модель зрелости ИБ Gartner?
Управление инцидентами информационной безопасности от А до ЯDialogueScience
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
Управление инцидентами. Ключевые этапы создания и внедрения процесса.
Классификация инцидентов. Необходимое и достаточное количество классификационных параметров.
Выявление инцидентов. Достаточно ли SIEM?
Обработка инцидентов информационной безопасности.
Расследование инцидентов.
Оценка эффективности процесса управления инцидентами информационной безопасности.
Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»
Стандарт ISO/IEC 27001:2013 – все слышали, мало кто видел
Сложность темы ИБ находит отражение в стандарте. Полное внедрение ISO 27001, с использованием всех рекомендаций - потребует годы для средней организации.
Как создать с нуля сбалансированную СУИБ, как выбрать только реально необходимые защитные меры и как правильно внедрить процессы ИБ?
презентация для выступления на семинаре по теме: "Импортозамещени в сфере ИТ - подходы к автоматизации управления в организациях-исполнителях государственного оборонного заказа при максимальном сохранении вложенных инвестиций".
(http://www.rosoboronstandart.ru/seminar-10-11-marta-2015/)
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО ЯDialogueScience
Спикер: Ксения Засецкая, Старший консультант отдела консалтинга АО «ДиалогНаука»
Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. На вебинаре будут рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности.
В данной своей лекции я рассказываю об основе основ: базовых принципах защиты информации, которые нужно соблюдать всем, а именно принципы:
* Минимальных привиллегий.
* Прозрачности решений.
* Превентивности защиты.
* Системного подхода.
* Непрерывности защиты.
* Доказательности.
* Унификации решений.
Все описанные принципы подробно разбираются на примерах, и мы постепенно приходим к понятию оптимальной защиты. Также в презентации описываются различные уровни зрелости информационной безопасности на предприятии.
Конечно же, в конце, как и следует из названия, приведено описание так называемых метрик информационной безопасности: их виды, способы измерения и примеры.
Подробнее читайте на моём блоке inforsec.ru
Как довести проект по информационной безопасности до умаInfoWatch
Как довести ИБ-проект до ума? Как и когда лучше преподнести проект руководству? Как обосновать бюджет на имиджевый ИБ-проект? Что такое модель зрелости ИБ Gartner?
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБInfoWatch
1. Оценка рисков как способ снижения затрат на ИБ: как оценить и минимизировать риски
2. Оргмеры для снижения затрат, какие оргмеры работают и когда
3. Какие технические средства могут помочь повысить эффективность
Оценка эффективности от внедрения и использования методологии и инструменталь...Alexander Novichkov
http://cmcons.com
http://anovichkov.msk.ru
Оценка эффективности от внедрения и использования методологии и инструментальных средств IBM Rational.
Практика внедрения и взаимодействия с заказчиком.
15 июня 2010 года - «ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ IBM RATIONAL ДЛЯ УЛУЧШЕНИЯ ПРОЦЕССОВ РАЗРАБОТКИ И СОПРОВОЖДЕНИЯ ПО»
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
1. Прозоров Андрей
Ведущий эксперт по информационной безопасности
Зачем измерять
информационную
безопасность?
Для DLP–Expert 08-2013
2. 1. При обосновании бюджета ИТ и ИБ
2. При выборе решения ИТ и ИБ
3. При подготовке отчетов для руководства
4. Регулярно по рекомендациям стандартов ИБ
5. При анализе инцидентов
6. Просто от скуки…
Когда мы начинаем измерять ИБ
и все, что с ней связано
Идеальный вариант: анализ для совершенствования процессов
(анализ влияния изменений, аномалий).
Но есть минус: процессный подход должен быть внедрен в компании
(ISO 9001/20000/22301/27001, ITIL, COBIT, СТО БР ИББС…)
3. Покажите ценность бизнесу
Получение выгод
Оптимизация рисков
Оптимизация ресурсов
1.Обоснование бюджета
!Покажите «бизнесу» деньги!
Дополнительные аргументы
Инциденты
Требования (а лучше предписания) регуляторов
«Оценка рисков»/модель угроз
Аналог по отрасли
«Лучшие практики»
Соответствие стратегии ИТ
…
4. Выгоды
Какие выгоды и преимущества для компании?
Например, добровольная сертификация по ISO 27001 дает маркетинговое
преимущество, которое обеспечивает рост выручки компании (посчитать
сложно, но можно, например, проведя опрос потребителей)
Риски
Какова величина риска?
Вероятность (количество инцидентов в год)
Ущерб (Простой оборудования, процессов, персонала;
Восстановление; Расследование инцидентов; Юридическое
сопровождение; Штрафы и другие санкции регуляторов;
Репутационные потери)
Оптимизация ресурсов
Сколько денег можно сэкономить?
Например: Оптимизация стоимости СЗИ (новые дешевле), Автоматизация
процессов, Консалтинг или Внутренний персонал (+обучение персонала),
Аутсорсинг или Внутренний персонал…
Как считать?
5. На стоимость влияют: отрасль, состав информации
(например, сканы паспортов, номера кредитных карт, планы
развития, БД клиентов, логины/пароли, информация о
здоровье, личная переписка и пр.), количество записей,
дальнейшее использование информации, реакция компании
на инцидент
Для разного состава информации возможны
разные последствия / типы ущерба
Самостоятельные идеи, которые плохо работают:
цена 1 записи (200$ США и 40$ Индия)*кол-во
отток клиентов 10-20% (Forrester)
последствия от ухода клиента CLV (Client Lifetime Value) *
вероятность переманивания (~30%)
А вероятность утечки? Смотрите отчеты…
Пример. Сколько стоит утечка
информации?
6. Цели и задачи - > Функционал решения
Дополнительные критерии
Дополнительный функционал
Наличие сертификатов соответствия
Рекомендации экспертов, отраслевые стандарты
Язык интерфейса и документации
Условия тех.поддержки
…
Стоимость владения:
ПО (лицензии) и АО
Внедрение и настройка
Трудозатраты персонала и его стоимость
Обучение персонала
Тех.поддержка и консультации
Методические документы
Утилизация
…
2.Выбор решения
7. Показатели может выбирать руководитель самостоятельно
(отчет по форме) или на усмотрение исполнителя (в
произвольной форме)
Говорите с «бизнесом» на его языке, не используйте
«технические» метрики
Лучший показатель – предотвращенный ущерб…
Большинство метрик не несет никакой информации без
сравнения (с планом, с эталоном, с прошлым измерением)
Многие СЗИ могут генерировать отчеты, содержащие
показатели, диаграммы и графики
Главное требование: отчет должен быть коротким и понятным
(Executive Summery)
Рекомендуется включить в отчет выводы и конкретные
предложения
3.Отчеты для руководства
8. Измерения в ISO 27001: оценка рисков, мониторинг и анализ
СУИБ со стороны руководства, управление инцидентами
(извлечение уроков из инцидентов).
Рекомендации: ISO 27005, ISO 27003, ISO 27004 (14
«конструктивных элементов измерений)
Документы NIST и COBIT5
А еще есть СТО БР ИББС, требования по НПС…
4.Требования стандартов
ISO NIST COBIT5
9. Основные показатели:
Ущерб
Количество инцидентов
Время обнаружения
Время восстановления
Стоимость восстановления
…
5.Анализ инцидентов
Парадокс системного администратора:
«Если админ спит на работе, это хороший админ
или плохой?»
10. Можно измерять все, что угодно…
Метрик может быть очень много…
Не путайте показатели (метрики) и KPI
KPI всегда привязаны к целям компании, KPI обычно не много (не более 20 на
компанию, обычно до 10)
Большинство метрик не несет никакой информации без
сравнения (с планом, с эталоном, с прошлым измерением)
Упрощайте и автоматизируйте
Сохраняйте результаты измерений
6.Измерение ИБ от скуки
11. 1. Определите цель измерения
Для чего будет использоваться информация и кем?
2. Четко сформулируйте объект оценки
3. Найдите баланс между ценностью информации и
стоимостью ее получения
4. Найдите баланс между точностью информации и
стоимостью ее получения
5. 2 основных параметра, которые полезно уметь
оценивать: ущерб и вероятность
«Повышение безопасности означает снижение частоты
определенных нежелательных событий
и уменьшение ущерба от них»
Общие рекомендации при
проведении измерений
12. До тех пор пока Вы не
начнете регулярно измерять
ИБ, рано переходить к оценке
эффективности ИБ
0.Incomplete
1.Performed
2.Managed
3.Established
4.Predictable
5.Optimising
14. Number of records or files detected as
compliance infractions
Percentage of software applications tested
Reduction in the frequency of denial of service
attacks
Reduction in regulatory actions and lawsuits
Reduction in expired certificates (including SSL
and SSH keys)
Mean time to detect security incidents
Reduction in the number of threats
Reduction in the cost of cyber crime
remediation
Percentage of recurring incidents
Percentage of incidents detected by
automated control
Performance of users on security training
retention tests
Time to contain data breaches and security
exploits
Reduction in the number or percentage of end
user enforcement actions
Reduction in loss of data-bearing devices
(laptops, tablets, smartphones)
Бонус: Лучшие метрики ИБ
Reduction in the cost of security management
activities
Length of time to implement security patches
Spending level relative to total budget
Percentage of endpoints free of malware and
viruses
Number of end users receiving appropriate
training
Reduction in unplanned system downtime
Reduction in number of access and
authentication violations
Reduction in the total cost of ownership (TCO)
Return on security technology investments
(ROI)
Reduction in number of known vulnerabilities
Reduction in number of data breach incidents
Reduction in number of percentage of policy
violations
Reduction in audit findings and repeat findings
Number of security personnel achieving
certification
«The State of Risk-Based Security 2013» (Tripwire) U.S. и U.K.