SlideShare a Scribd company logo

Процедура внедрения СУИБ в банке: основные шаги и подводные камни

Download as PPTX, PDF
Vlad Styran, profile picture
Vlad Styran

Документ описывает процесс внедрения системы управления информационной безопасностью (СУИБ) в банках, включая ключевые шаги, подводные камни и необходимость поддержки руководства. Основное внимание уделяется процессному подходу, разделению полномочий между IT и информационной безопасностью, а также важности обучения пользователей и соблюдения стандартов. Также подчеркивается необходимость коммуникации и завоевания поддержки руководства, что является критически важным для успешной реализации СУИБ.

Economy & FinanceBusiness
1 of 28
Downloaded 81 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Процедура внедрения СУИБ в Банке: основные шаги и подводные камниВладимир СтыранДепартамент консалтинга в сфере ИБ
СодержаниеПроцедура внедрения СУИБПланированиеПостроениеПроверкаПодводные камни построения СУИБПоддержка руководстваКак получить поддержку руководства?Процессный подходРазделение полномочий между ИТ и ИББаланс между организационными и техническими средствамиСвязь между Соответствием и Безопасностью
Процедура внедрения СУИБ213576489
1Организация работ
Планирование2
Планирование3
Планирование4
ПостроениеРазработка нормативных документов5Разработка документовУтверждение документов руководствомПолитика СУИБПолитики и процедуры в составе СУИБ
ПостроениеПодготовка плана внедрения средств защитыВнедрение средств защиты67Требования к решениями и средствам защитыВыбор решений и средств защиты
Проверка98
Подводные камни построения СУИБПоддержка руководстваПроцессный подходРазделение полномочий ИТ и ИББаланс между организационными и техническими средствами защитыСвязь между Соответствием (compliance) и Безопасностью
Поддержка руководства: сложности
Как получить поддержку руководства?Вернее, как завоевать поддержку руководства?Подготовьте проектПроектный план
Бюджет, сроки, качествоПрезентацияВыгоды СУИБ
Сроки построения
Необходимые ресурсы Ответы на вопросы«Сколько это стоит?»
«Что мы получим?»
«Почему нам это нужно?»Как получить поддержку руководства?Знайте, чего хочет руководительВидение руководителя = видение компанииПроцветание компанииУспешная компания – успешный руководительЗаручитесь поддержкойВлиятельный руководительпроизводитпродаетконтролируетНаучитесь идеи привлекательной стороной«поворачивать»
Как получить поддержку руководства?Разговаривайте на языке БизнесаБизнес не владеет техническим языкомВы строите Систему Управления – это бизнес процессУчитесь языку БизнесаТерминологияУправлениеЭкономическая теорияФинансы
Как получить поддержку руководства?Будьте позитивны Верьте в то, что делаетеИспользуйте позитивные высказыванияВыделите положительныйэффект СУИБПолитика СУИБ упорядочит ИБОценка рисков измерит угрозы и последствияУправление рисками позволит надежно защитить важные ресурсы и сэкономить на защите менее важныхСУИБ = экономия + сокращение последствийзащита стоимость соответствие требованиям  безопасностьвложение  маркетинговое преимущество
Как получить поддержку руководства?Понимайте отношение бизнеса к рискуБизнес стремиться идтина риск для получения прибылиЗадача СУИБ – свести информационные риски к приемлемому уровню«Приемлемый уровень риска»– не эфемерное понятие, а ваш вклад в бизнесНе будьте идеалистами – бизнесу не нужна защита на 100%Безопасность должна быть безопасной настолько, насколько это возможно, но не больше
Как получить поддержку руководства?Используйте творческий подходРассказывайте о безопасностиВо время перерываНа тренингеНа team building упражненияхНе останавливайтесь на формальном подходеБудьте готовы и ищите подходящий моментэлектронные письмаочередь на приемслужебная записка  беседы на корпоративах  диалог в лифте  сжатая презентация
Процессный подход:сложностиСУИБ воспринимается как проектНечто разовоеИмеет конечные срокиВнедрили и забылиСУИБ – это процессИтеративная практикаСостоит из множества подпроцессовPDCA: Plan – Do – Check – ActПостроение СУИБ – проектПроектный подход к СУИБ снизит эффективность готовой системы управления
Процессный подход:решенияРазделение понятийПостроение СУИБ и Система управления ИБПостроение (внедрение) СУИБ – проектСУИБ – непрерывный бизнес процессКоммуникация различияРуководствуУчастникам процесса СУИБВсему персоналу
Разделение полномочий между ИТ и ИБ:сложностиАссоциации и заблужденияИТ  ИТ-безопасность  ИБВ ИБ превалируют технические средства защитыИБ – задача ИТ специалистовИТ + ИБ = конфликт интересовИТ: доступность сервисовИБ: CIA – конфиденциальность, целостностьи доступность информацииСУИБ – система контроля, в том числе и над ИТСовмещение контролирующей и подконтрольной функцийПсихологический конфликтИТ: технология = возможностьИБ: технология = ограничениеИБ в ведении ИТ снижает эффективность СУИБ
Разделение полномочий между ИТ и ИБ:решенияИТ и ИБ – равноправные партнеры
Баланс между организационными и техническими средствами защиты: сложностиЗаблуждение: ИБ = ИТ-безопасностьИТ-безопасность = безопасность ИТ системИБ = безопасность информации вообщеЗаблуждение: пользователь – слабое звеноНевежественный пользователь вообще не звеноЗащита «от дурака» применима не везде Образованный пользователь – сильное звеноСтатистикаВ 70% инцидентов вовлечены инсайдеры50% инцидентов спровоцированы инсайдерамиНе отражается в балансе контрмер
Баланс между организационными и техническими средствами защиты: решенияУспешная СУИБ80% – люди, следующие правилам20% – технические средства защитыОбучение пользователейВсе уязвимости не исправитьВсе вирусы не вылечитьПридется обучить пользователейДух общности сотрудников перед лицом угроз ИБ – залог успеха системы управления ИБОбразованный пользователь – эффективная составляющая СУИБ

More Related Content

PDF
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
PDF
Нужен ли вам SOC?
Positive Hack Days
 
PDF
EDR investment guide for Enterprise 2017-2018
Oleg Glebov
 
PDF
How SAP make secure SAP
Positive Hack Days
 
PPTX
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
PDF
Мировой опыт SOC'остроения
Positive Hack Days
 
PDF
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
 
PDF
Измерение эффективности ИБ
Aleksey Lukatskiy
 
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Нужен ли вам SOC?
Positive Hack Days
 
EDR investment guide for Enterprise 2017-2018
Oleg Glebov
 
How SAP make secure SAP
Positive Hack Days
 
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
 
Мировой опыт SOC'остроения
Positive Hack Days
 
Как построить систему ИБ в кризис; 3 способа снижения затрат на ИБ
InfoWatch
 
Измерение эффективности ИБ
Aleksey Lukatskiy
 

What's hot (20)

PPTX
Как довести проект по информационной безопасности до ума
InfoWatch
 
PPTX
Security Innovation Forum
Vladimir Matviychuk
 
PPTX
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Оценка отдачи вложений в ИБ
Aleksey Lukatskiy
 
PPT
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
PPT
Основные мифы безопасности бизнес-приложений
Digital Security
 
PDF
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
PPTX
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
 
PPTX
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
SQALab
 
PDF
SOC vs SIEM
Aleksey Lukatskiy
 
PDF
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
 
PDF
SIEM - мониторинг безопасности в Вашей компании
Softline
 
PDF
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
 
PPTX
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
 
PDF
Measurement of security efficiency
Aleksey Lukatskiy
 
PDF
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
PDF
Как обосновать затраты на ИБ?
Aleksey Lukatskiy
 
PPTX
Основной вектор атак — приложения
ЭЛВИС-ПЛЮС
 
PDF
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
UISGCON
 
PDF
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
UISGCON
 
Как довести проект по информационной безопасности до ума
InfoWatch
 
Security Innovation Forum
Vladimir Matviychuk
 
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Оценка отдачи вложений в ИБ
Aleksey Lukatskiy
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
 
Основные мифы безопасности бизнес-приложений
Digital Security
 
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
Построение СУИБ на основе ISO 27k
Sergey Chuchaev
 
Роль информационной безопасности в управлении проектами или Почему скрипач нужен
SQALab
 
SOC vs SIEM
Aleksey Lukatskiy
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Банковское обозрение
 
SIEM - мониторинг безопасности в Вашей компании
Softline
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
 
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
 
Measurement of security efficiency
Aleksey Lukatskiy
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
Как обосновать затраты на ИБ?
Aleksey Lukatskiy
 
Основной вектор атак — приложения
ЭЛВИС-ПЛЮС
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
UISGCON
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
UISGCON
 
Ad

Viewers also liked (19)

PPTX
Социальная инженерия для инженеров
Vlad Styran
 
PDF
Recon-Fu @BsidesKyiv 2016
Vlad Styran
 
PPTX
Кібер-Шмібер
Vlad Styran
 
PPTX
Berezha Security
Vlad Styran
 
PPTX
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Vlad Styran
 
PDF
Социальные аспекты ИБ
Vlad Styran
 
PDF
правда про ложь
Vlad Styran
 
PPTX
Путевые заметки социального инженера
Vlad Styran
 
PDF
Прелюдия к атаке: практика и автоматизация OSINT
Vlad Styran
 
PDF
Next generation pentest your company cannot buy
Vlad Styran
 
PDF
Построение Secure Development Lifecycle
Vlad Styran
 
PDF
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
PDF
#root это только начало
Vlad Styran
 
PDF
Bug Bounty Hunter Methodology - Nullcon 2016
bugcrowd
 
PDF
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Лицензия ТЗКИ на мониторинг Small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Социальная инженерия для инженеров
Vlad Styran
 
Recon-Fu @BsidesKyiv 2016
Vlad Styran
 
Кібер-Шмібер
Vlad Styran
 
Berezha Security
Vlad Styran
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Vlad Styran
 
Социальные аспекты ИБ
Vlad Styran
 
правда про ложь
Vlad Styran
 
Путевые заметки социального инженера
Vlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Vlad Styran
 
Next generation pentest your company cannot buy
Vlad Styran
 
Построение Secure Development Lifecycle
Vlad Styran
 
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
#root это только начало
Vlad Styran
 
Bug Bounty Hunter Methodology - Nullcon 2016
bugcrowd
 
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ad

Similar to Процедура внедрения СУИБ в банке: основные шаги и подводные камни (20)

PDF
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
 
ODP
Enterprise IT security - First steps
Evdokimov Andrey
 
PPT
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
PDF
Управление ИБ
Aleksey Lukatskiy
 
PDF
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
PDF
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
PDF
Обеспечение защиты информации на стадиях жизненного цикла ИС
SelectedPresentations
 
PDF
Управление информационной безопасностью
Вячеслав Аксёнов
 
PDF
информационная безопасность эволюция угроз и рынка решений
Expolink
 
PPTX
1.астерит хазиев м
Expolink
 
PPTX
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Expolink
 
PDF
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
Expolink
 
PDF
Infosecurity management in the Enterprise
Sergey Soldatov
 
PDF
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
imbasoft ru
 
PPTX
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
PPT
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Expolink
 
PPT
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Expolink
 
PDF
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
пр стандарты и «лучшие практики» в иб (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Expolink
 
ИСО 27001 и СМИБ. Теория и практика - обзор тренинга
Alexey Evmenkov
 
Enterprise IT security - First steps
Evdokimov Andrey
 
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Управление ИБ
Aleksey Lukatskiy
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
Практический опыт специалиста по информационной безопасности
RISSPA_SPb
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
SelectedPresentations
 
Управление информационной безопасностью
Вячеслав Аксёнов
 
информационная безопасность эволюция угроз и рынка решений
Expolink
 
1.астерит хазиев м
Expolink
 
Хазиев М. "Информационная безопасность: эволюция угроз и рынка решений"
Expolink
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
Expolink
 
Infosecurity management in the Enterprise
Sergey Soldatov
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
imbasoft ru
 
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Информзащита. Вячеслав Свириденко "Повышение осведомленности – эффективный ин...
Expolink
 
Информзащита. Вячеслав Свириденко. "Повышение осведомленности – эффективный и...
Expolink
 
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стандарты и «лучшие практики» в иб (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Expolink
 

More from Vlad Styran (14)

PPTX
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
Vlad Styran
 
PDF
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Vlad Styran
 
PPTX
The sooner the better but never too late
Vlad Styran
 
PPTX
Threat Modeling 101
Vlad Styran
 
PPTX
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
Vlad Styran
 
PPTX
Application Security Webcast
Vlad Styran
 
PDF
Sigma Open Tech Week: Bitter Truth About Software Security
Vlad Styran
 
PDF
NoNameCon partnership opportunities
Vlad Styran
 
PPTX
BruCON 0x09 Building Security Awareness Programs That Don't Suck
Vlad Styran
 
PPTX
Организация, культура, и управление кибер-безопасностью
Vlad Styran
 
PDF
Cybersecurity Framework 021214 Final UA
Vlad Styran
 
PDF
Fantastic Beasts and where to hide from them
Vlad Styran
 
PPTX
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Vlad Styran
 
PDF
Центр оперативного управления информационной безопасностью
Vlad Styran
 
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Vlad Styran
 
The sooner the better but never too late
Vlad Styran
 
Threat Modeling 101
Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
Vlad Styran
 
Application Security Webcast
Vlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Vlad Styran
 
NoNameCon partnership opportunities
Vlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
Vlad Styran
 
Организация, культура, и управление кибер-безопасностью
Vlad Styran
 
Cybersecurity Framework 021214 Final UA
Vlad Styran
 
Fantastic Beasts and where to hide from them
Vlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Vlad Styran
 
Центр оперативного управления информационной безопасностью
Vlad Styran
 

Процедура внедрения СУИБ в банке: основные шаги и подводные камни

  • 1. Процедура внедрения СУИБ в Банке: основные шаги и подводные камниВладимир СтыранДепартамент консалтинга в сфере ИБ
  • 2. СодержаниеПроцедура внедрения СУИБПланированиеПостроениеПроверкаПодводные камни построения СУИБПоддержка руководстваКак получить поддержку руководства?Процессный подходРазделение полномочий между ИТ и ИББаланс между организационными и техническими средствамиСвязь между Соответствием и Безопасностью
  • 8. ПостроениеРазработка нормативных документов5Разработка документовУтверждение документов руководствомПолитика СУИБПолитики и процедуры в составе СУИБ
  • 9. ПостроениеПодготовка плана внедрения средств защитыВнедрение средств защиты67Требования к решениями и средствам защитыВыбор решений и средств защиты
  • 11. Подводные камни построения СУИБПоддержка руководстваПроцессный подходРазделение полномочий ИТ и ИББаланс между организационными и техническими средствами защитыСвязь между Соответствием (compliance) и Безопасностью
  • 13. Как получить поддержку руководства?Вернее, как завоевать поддержку руководства?Подготовьте проектПроектный план
  • 16. Необходимые ресурсы Ответы на вопросы«Сколько это стоит?»
  • 18. «Почему нам это нужно?»Как получить поддержку руководства?Знайте, чего хочет руководительВидение руководителя = видение компанииПроцветание компанииУспешная компания – успешный руководительЗаручитесь поддержкойВлиятельный руководительпроизводитпродаетконтролируетНаучитесь идеи привлекательной стороной«поворачивать»
  • 19. Как получить поддержку руководства?Разговаривайте на языке БизнесаБизнес не владеет техническим языкомВы строите Систему Управления – это бизнес процессУчитесь языку БизнесаТерминологияУправлениеЭкономическая теорияФинансы
  • 20. Как получить поддержку руководства?Будьте позитивны Верьте в то, что делаетеИспользуйте позитивные высказыванияВыделите положительныйэффект СУИБПолитика СУИБ упорядочит ИБОценка рисков измерит угрозы и последствияУправление рисками позволит надежно защитить важные ресурсы и сэкономить на защите менее важныхСУИБ = экономия + сокращение последствийзащита стоимость соответствие требованиям  безопасностьвложение  маркетинговое преимущество
  • 21. Как получить поддержку руководства?Понимайте отношение бизнеса к рискуБизнес стремиться идтина риск для получения прибылиЗадача СУИБ – свести информационные риски к приемлемому уровню«Приемлемый уровень риска»– не эфемерное понятие, а ваш вклад в бизнесНе будьте идеалистами – бизнесу не нужна защита на 100%Безопасность должна быть безопасной настолько, насколько это возможно, но не больше
  • 22. Как получить поддержку руководства?Используйте творческий подходРассказывайте о безопасностиВо время перерываНа тренингеНа team building упражненияхНе останавливайтесь на формальном подходеБудьте готовы и ищите подходящий моментэлектронные письмаочередь на приемслужебная записка  беседы на корпоративах  диалог в лифте  сжатая презентация
  • 23. Процессный подход:сложностиСУИБ воспринимается как проектНечто разовоеИмеет конечные срокиВнедрили и забылиСУИБ – это процессИтеративная практикаСостоит из множества подпроцессовPDCA: Plan – Do – Check – ActПостроение СУИБ – проектПроектный подход к СУИБ снизит эффективность готовой системы управления
  • 24. Процессный подход:решенияРазделение понятийПостроение СУИБ и Система управления ИБПостроение (внедрение) СУИБ – проектСУИБ – непрерывный бизнес процессКоммуникация различияРуководствуУчастникам процесса СУИБВсему персоналу
  • 25. Разделение полномочий между ИТ и ИБ:сложностиАссоциации и заблужденияИТ  ИТ-безопасность  ИБВ ИБ превалируют технические средства защитыИБ – задача ИТ специалистовИТ + ИБ = конфликт интересовИТ: доступность сервисовИБ: CIA – конфиденциальность, целостностьи доступность информацииСУИБ – система контроля, в том числе и над ИТСовмещение контролирующей и подконтрольной функцийПсихологический конфликтИТ: технология = возможностьИБ: технология = ограничениеИБ в ведении ИТ снижает эффективность СУИБ
  • 26. Разделение полномочий между ИТ и ИБ:решенияИТ и ИБ – равноправные партнеры
  • 27. Баланс между организационными и техническими средствами защиты: сложностиЗаблуждение: ИБ = ИТ-безопасностьИТ-безопасность = безопасность ИТ системИБ = безопасность информации вообщеЗаблуждение: пользователь – слабое звеноНевежественный пользователь вообще не звеноЗащита «от дурака» применима не везде Образованный пользователь – сильное звеноСтатистикаВ 70% инцидентов вовлечены инсайдеры50% инцидентов спровоцированы инсайдерамиНе отражается в балансе контрмер
  • 28. Баланс между организационными и техническими средствами защиты: решенияУспешная СУИБ80% – люди, следующие правилам20% – технические средства защитыОбучение пользователейВсе уязвимости не исправитьВсе вирусы не вылечитьПридется обучить пользователейДух общности сотрудников перед лицом угроз ИБ – залог успеха системы управления ИБОбразованный пользователь – эффективная составляющая СУИБ
  • 29. Связь между соответствием стандарту и безопасностью: сложностиСоответствие стандарту – требование регулятораРегулятор стремится повысить уровень ИБ в отраслиСоответствие стандарту – маркетинговое преимуществоНесомненно, но не толькоЗатраты на «соответствие» грозят превысить затраты на безопасностьSOX, PCI:DSS, HIPPA, GLBA…«Соответствие» на бумаге не гарантирует безопасностьБезопасность гарантирует эффективная СУИБПока не придумали ничего лучшеПодмена понятий «соответствие» и «безопасность» снижает эффективность и превращает СУИБ в «неизбежное зло»
  • 30. Связь между соответствием стандарту и безопасностью: решенияКомплексная, продуманная, поддерживаемая и постоянно усовершенствуемая СУИБ гарантирует (насколько это возможно) и безопасность, и соответствие стандартуРуководство компании должно быть (регулярно) проинформировано, что из эффективности СУИБ следует соответствие требованиям, а не наоборот
  • 31. Наши возможностиПервичная оценкаРазработка нормативной документацииПостановка процессовУправление рискамиУправление инцидентамиУправление уязвимостямиПрограмма осведомленностиВнутренний аудит на соответствие
  • 32. ВопросыСпасибо за внимание!Владимир СтыранРуководитель группы внедрения СУИБДепартамент консалтинга в сфере ИБvladimir_styran@bms-consulting.com+380 (44) 499-6969