Консалтинг и GRC 2014
1 like515 views
Документ представляет собой обзор внедрения GRC-систем в области информационной безопасности, подчеркивая важность управления рисками и соблюдения соответствия. Он обсуждает преимущества, такие как снижение затрат и повышение эффективности процессов безопасности, а также трудности, такие как сложность требований и нехватка ресурсов. Основное внимание уделяется стратегическому и операционному уровням внедрения, а также интеграции различных технологий.
Консалтинг и GRC 2014
- 1. Гарбузов Георгий Отдел консалтинга ЦИБ Консалтинг ИБ: взгляд с позиций GRC 7 октября 2014 г.
- 2. Гарбузов Георгий Отдел консалтинга ЦИБ Консалтинг ИБ: взгляд с позиций GRC ...или будни ИБ консультанта 7 октября 2014 г.
- 3. Больше чем безопасность © 2014 Инфосистемы Джет 3 Ассортимент консультанта Проекты по приведению в соответствие • Персональные данные; • PCI DSS и др. Аудиты ИБ • Экспертные аудиты; • Оценка защищенности. Внедрение правовых режимов • Коммерческая тайна… Разработка нормативной документации Оценка рисков, построение СУИБ Стратегический консалтинг
- 4. Больше чем безопасность © 2014 Инфосистемы Джет 4 Зачем компаниям СУИБ? Снижение потерь от инцидентов Снижение операционных затрат Прозрачность деятельности ИБ Повышение доверия Управление соответствием
- 5. Больше чем безопасность © 2014 Инфосистемы Джет 5 …на самом деле;) Требует руководство Ждем реальной пользы Нужен сертификат У других уже есть, чем мы хуже? Высокобюджетный проект
- 6. Больше чем безопасность © 2014 Инфосистемы Джет 6 Самая явная выгода Положительно влияет на репутацию и стоимость бренда Обеспечивает преимущества при участии в конкурсах Упрощает процессы прохождения аудитов
- 7. Больше чем безопасность © 2014 Инфосистемы Джет 7 СУИБ: объективные трудности Запутанные и многомерные требования • Различные объекты соответствия; • Различные ведомства-предъявители требований; • Постоянный правовой дрейф. Сложность восприятия бизнесом идей ИБ • Цели ИБ не всегда соответствуют целям бизнеса; • Непрозрачность деятельности ИБ; • ИБ не владеет терминологией, ценной для бизнеса. Усложнение ИТ технологий • Сложность оценки состояния; • Неадекватная оценка рисков; • Неготовность к приходу прогрессивных технологий; Большой объем рутины, нехватка «рук» • Численность вовлеченных работников; • Территориальная распределенность; • Большое количество процессов.
- 8. Больше чем безопасность © 2014 Инфосистемы Джет 8 Автоматизация СИУБ ““TThhee ccoooorrddiinnaatteedd ffuunnccttiioonnss tthhaatt set and enforce the boundaries within which an organization seeks to maximize performance” Forrester Основные функции GRC систем • Управление рисками; • Управление соответствием; • Управление политиками; • Управление внутренним аудитом; • Управление непрерывностью бизнеса; • Управление инцидентами; • Управление конфигурациями. Governance Risk Compliance
- 9. Больше чем безопасность © 2014 Инфосистемы Джет 9 Выгоды от внедрения GRC-систем Совместная работа различных ролей и подразделений в едином процессе и информационном пространстве Возможность целостного видения ситуации в области управления рисками и соответствия Назначение приоритетов при выделении ресурсов Возможность контролировать статус исключений и проблем Снижение стоимости подготовки и проведения аудитов Повышение эффективности процесса управления рисками Отлаженный процесс отчетности и демонстрации соответствия
- 10. Больше чем безопасность © 2014 Инфосистемы Джет 10 …при идеальном внедрении
- 11. Больше чем безопасность © 2014 Инфосистемы Джет 11 Процессы ИБ – первые вопросы… Technology Overview for IT GRC: Clarifying IT GRC to Match Technology to Need
- 12. Больше чем безопасность © 2014 Инфосистемы Джет 12 …и проблемы внедрения Уникальность каждого внедрения Высокая стоимость Неготовность бизнеса - «анархия» в процессах и частые перемены
- 13. Больше чем безопасность © 2014 Инфосистемы Джет 13 «Внедрить» или «внедрять»?
- 14. Больше чем безопасность © 2014 Инфосистемы Джет 14 Что было нужно? Стратегический уровень Тактический уровень Операционный уровень
- 15. Больше чем безопасность © 2014 Инфосистемы Джет 15 Структура системы
- 16. Больше чем безопасность © 2014 Инфосистемы Джет 16 Возможности интеграции DLP SIEM Web-фильтрация Antivirus Защита web- приложений Защита БД Защита каналов Сканер защищенности Сетевая защита Защита от утечек через съемные носители ITSM Любая иная система JiVS
- 17. Больше чем безопасность © 2014 Инфосистемы Джет 17 Jet inView Security
- 18. Спасибо за внимание! Гарбузов Георгий Начальник отдела консалтинга +7 495 411-7601