Как в пылу борьбы за C и R, не забыть про G
1 like806 views
Документ обсуждает важность управления безопасностью информации и связи между корпоративным управлением и информационной безопасностью. Он подчеркивает необходимость интеграции стандартов соблюдения и управления рисками в стратегические бизнес-решения. Весьма актуальным является вопрос о недостаточном осознании бизнесом роли соблюдения стандартов в сокращении числа инцидентов.
Как в пылу борьбы за C и R, не забыть про G
- 1. Как в пылу борьбы за R и C не забыть, что такое G? Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 1/19
- 2. GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 2/19
- 3. Множество требований Compliance Национальные и Стандарты Governance для ИТ Другие связанные международные формальные AS8015 (будущий ISO): стандарты бизнес-требования Corporate Governance of ICT ISO9000 OECD Principles of AS8016: AS8017: AS8019: (Quality) Corporate Governance Projects Operations Information ISO 15489 Sarbanes Oxley (Records) ISO 20000: ISO 17799 & UK Combined Code (1998) ITSM & Turnbull Report (1999) ISO 27001: VERS Info Security (Records) EU 8th directive on company law AS 4360 Стандарты де юре управления ИТ Basel (Risk) IFRS COSO II Gateway Records Keeping laws Prince 2 PMBoK ITIL GAISP (anti) spam laws CoBiT Freedom of Information ValIT … Privacy laws … Стандарты де-факто управления ИТ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 3/19
- 4. Стандарты управления рисками AS/NZS 4360 NIST SP 800-3 HB 167:200X SOMAP EBIOS Lanifex Risk Compass ISO 27005 (ISO/IEC IS Austrian IT Security 13335-2) Handbook MAGERIT на основе CRAMM MARION A&K Analysis MEHARI ISF IRAM (включая SARA, SPRINT) CRISAM OSSTMM RAV OCTAVE BSI 100-3 ISO 31000 InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 4/19
- 5. Чего нам не хватает? Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 5/19
- 6. Security Management: панацея? Security Management Compliance Risk Management Management InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 6/19
- 7. Ситуация меняется… но не для бизнеса Ситуация приводит.. в результате Противодействие Перерасход пользователей ИБ- Очень много бюджета проектам проектов Отсутствие Срыв сроков стратегии развития Нельзя отказаться от проекта Падает качество С бизнесом не Проекты «продаются» связано на эмоциях Преимуществ Недооценка Нет процесса оценки рисков и затрат не видно Отсутствие Перебор с Проекты не доверия к ИБ финансовым ROI связаны со Нет четких стратегией критериев для выбора InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 7/19
- 8. Разрыв между бизнесом и технологиями Управление стратегией Управление архитектурой • Selective hearing • Wishful thinking • Fear • Emotional over- ? investment Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 8/19
- 9. “Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 9/19
- 10. Security Governance как связующее звено InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 10/19
- 11. Определения Security Governance . . . связь между бизнесом и управлением ИБ . . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры . . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности …подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 11/19
- 12. Определения Security Governance Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ- решений …взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 12/19
- 13. Связь с другими дисциплинами Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня Security governance поддерживает следующие дисциплины: Управление ИБ-активами Управление ИБ-портфолио Архитектура ИБ предприятия Управление ИБ-проектами Управление ИБ-программами Управление ИБ-сервисами Оптимизация бизнес-технологий Измерение ценности и вклада ИБ в бизнес InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 13/19
- 14. Модель Security Governance Управление стратегией Управление архитектурой Управление портфолио Управление программой Управление активами Управление проектами Операционное управление InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 14/19
- 15. • Закрываем бизнес-проблемы Дублирование инициатив • Решения, не связанные с бизнесом Управление стратегией Управление архитектурой • Слабо продуманные инициативы (очень поздно, очень рано, не требуется) Управление портфолио 52% Управление программой • Доработка Управление (неадекватные требования) активами • Повторное Управление проектами 15% • Неполностью проектирование 33% утилизированная инфраструктура (упущения из-за пропуска • Частые повторы изменений) из-за слабой • Ресурсы не Операционное управление архитектуры связаны с бизнесом Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 15/19
- 16. Объединяя все вместе Security Governance Управление соответствием Управление рисками ? Управление ИБ Защитные меры InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 16/19
- 17. Новый взгляд на безопасность InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 17/19
- 18. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 18/19
- 19. InfoSecurity 2009 © 2008 Cisco Systems, Inc. All rights reserved. 19/19