Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Интеграция ИБ и ИТ процессов
Алексей Евменков, CISM
isqa.ru
2016-11-10
Аннотация
• Процессы управления ИБ и ИТ всегда были рядом.
Все это красиво нарисовано на карте процессов ITIL,
в модном ны...
Представление
• Специалист по ИБ (CISM), по
процессам и качеству в ИТ области
• Внедряю и подготавливаю к
сертификации - И...
Что такое ИТ и ИБ
процессы
• Речь об ИТ и ИБ процессах.
Что это такое?
• ИТ процессы – поддерживают ИТ
инфраструктуру
• Гд...
ИТ в ИБ или ИБ в ИТ?
Некое откровение:
ИБ и ИТ пересекаются, но природа разная
Поэтому при всех «совет да любовь», в
организме бизнеса возможен...
Суть конфликта: разная
природа ИБ и ИТ
7
Метод
достижения
Ограничение Открытость
Основные
функции
Обеспечение безопасности...
Ключ решения конфликта:
владелец актива
• Решение – во владельце актива
• На основе чего? На управлении рисками
• И методи...
Кто есть владелец актива?
Нетривиальный вопрос
Лирика: ИБ/ИТ - кто ближе к телу?
(Имеется мнение) ИБ
более близка к бизнесу
• Необходимость
доносить риски на
уровне бизн...
Если все равны,
то почему не
объединить?
Объединить не
получится, п.ч.
природа разная
(см. Откровение #1)
Поэтому не рекомендуется делать ИБ частью ИТ
отдела
• ИТ часто бывает источником рисков (высокие
привелегии)
• И в случае ...
• ИБ и HR процессы суть одно
• ИБ и Производственные процессы суть одно
• ИБ и … суть одно
Подозрение:
ИБ и ИТ процессы су...
ИБ – некий аттрибут любого из процессов, придающий
ему блеск и совершенство
• Обеспечивающий конфиденциальность, целостнос...
«Добавленный блеск» –
на примере процесса управления доступом
Процесс
управления
доступом
Дал
доступ
Отобрал
доступ
Single...
Управление доступом в ИСО 27002
A.9.1 Business requirements of access control
A.9.1.1 Access control policy
A.9.1.2 Access...
• Редко встретишь
• Сложно доказать
• Абстрактно и ненужно выделять
• Возможные примеры:
• Управление рисками
• Аудиты ИБ ...
Найдем ИБ в ИТ
Хинт: как распознать ИБ процесс?
Любой процесс, обеспечивающий
конфиденциальность, целостность и
доступность обслуживаемог...
ИБ процессы в ITIL
Лирика: как ITIL
видит ИБ?
• Как ISMS построенную на ИСО 27001
• Как IT Security (но ISO 27001 – гораздо шире чем
просто I...
IT Security Management process в ITIL
Планирование и мониторинг целей
Требования ИСО 27001
Политики и процедуры СМИБ
Корректирующие
имеры
Управление рисками
Ауд...
ИБ процессы в Cobit 5
ITIL брал!
COBIT не брал…
Лирика: существуют
ли в природе
внедренцы COBIT?
Найдем ИТ в ИБ
ИТ процессы в ИБ (ISO 27002)
ИБ в управлении персоналом
Управление активами
Управление доступом
Организация ИБ
Криптографи...
ИТ процессы в ИБ (NIST)
Предположение: блеск и
величие ИБ – в ее
многоплановости
Многоплановость ИБ
Источник: NIST Cybersecurity framework
Многоплановость ИБ
Многоплановость
ИБ
Вопрос:
почему такая
хорошая
штука
нервирует?
Слишком много блеска - плохо
Недооценка
рисков и ИБ в
целом - плохо
Что же такое интеграция ИТ и ИБ?
Это командная игра)
Суммируя
• ИБ и ИТ - практики равнозначны, но ИБ более
многопланова
• ИБ и ИТ имеют разные сущности, имеется
конфликт инте...
АлексейЕвменков, CISM
isqa.ru
evmenkov@gmail.com
Авторский курс: Внедрение СМИБ
Расширенная практическая часть,
полное рук...
Prochain SlideShare
Chargement dans…5
×

ITSM Belarus2016. Интеграция ИБ и ИТ процессов

422 vues

Publié le

Интеграция ИБ и ИТ процессов. Какая практика "важнее". Как решить конфликт интересов.

Publié dans : Technologie
  • Identifiez-vous pour voir les commentaires

ITSM Belarus2016. Интеграция ИБ и ИТ процессов

  1. 1. Интеграция ИБ и ИТ процессов Алексей Евменков, CISM isqa.ru 2016-11-10
  2. 2. Аннотация • Процессы управления ИБ и ИТ всегда были рядом. Все это красиво нарисовано на карте процессов ITIL, в модном нынче Cobit 5. • На практике же случается, что ИБ становится "тормозом" для полноценного развертывания ИТ процессов (и наоборот). • Также, не всегда понятно, в чем вообще польза ИБ. • В докладе поговорим о конфликтах интересов ИБ и ИТ. Рассмотрим пересечение ИБ и ИТ процессов, их возможную интеграцию. • Размышления про ИБ и ИТ
  3. 3. Представление • Специалист по ИБ (CISM), по процессам и качеству в ИТ области • Внедряю и подготавливаю к сертификации - ИСО 27001 и 9001 • Первая в РБ ИСО 27001 сертификация (в2008г, Tieto) • Консалтинг и сертификации РБ, Россия, Финляндия, Швеция, Прибалтика • Последний крупный проект (май 2016г.)ИСО 27001 сертификация компании Exadel. • Директор ИБ в компании ISsoft • Партнер компании UGIS по направлению ИБ
  4. 4. Что такое ИТ и ИБ процессы • Речь об ИТ и ИБ процессах. Что это такое? • ИТ процессы – поддерживают ИТ инфраструктуру • Где посмотреть? ITIL, Cobit • ИБ процессы – обеспечивают информационную безопасность активов организации • Где посмотреть? ISO 27001/27002, NIST Во многом - пересекаются
  5. 5. ИТ в ИБ или ИБ в ИТ?
  6. 6. Некое откровение: ИБ и ИТ пересекаются, но природа разная Поэтому при всех «совет да любовь», в организме бизнеса возможен конфликт (особенно когда кто-то подрастет)
  7. 7. Суть конфликта: разная природа ИБ и ИТ 7 Метод достижения Ограничение Открытость Основные функции Обеспечение безопасности информации: конфиденциальность, целостность и доступность Обеспечение мобильности, скорости, доступности, целостности систем Цель Защита информации Удобство использования для бизнеса ИБ ИТ
  8. 8. Ключ решения конфликта: владелец актива • Решение – во владельце актива • На основе чего? На управлении рисками • И методику лучше бы предоставило ИБ
  9. 9. Кто есть владелец актива? Нетривиальный вопрос
  10. 10. Лирика: ИБ/ИТ - кто ближе к телу? (Имеется мнение) ИБ более близка к бизнесу • Необходимость доносить риски на уровне бизнеса • Работа со всеми подразделениями Вообще, и ИБ и ИТ – потребители на теле бизнеса • Нет лучше или хуже – обе практики – центры затрат. ИТ – более основательна, ближе к бизнесу с точки зрения средств производства Но ИБ в посл. время становится критичней – информационные активы стоят дороже ИТ процессов их поддерживающих
  11. 11. Если все равны, то почему не объединить?
  12. 12. Объединить не получится, п.ч. природа разная (см. Откровение #1)
  13. 13. Поэтому не рекомендуется делать ИБ частью ИТ отдела • ИТ часто бывает источником рисков (высокие привелегии) • И в случае инцидента с ИТ, ИБ «стреляет себе в ногу»
  14. 14. • ИБ и HR процессы суть одно • ИБ и Производственные процессы суть одно • ИБ и … суть одно Подозрение: ИБ и ИТ процессы суть одно
  15. 15. ИБ – некий аттрибут любого из процессов, придающий ему блеск и совершенство • Обеспечивающий конфиденциальность, целостность и доступность Вывод: ИБ – это атрибут
  16. 16. «Добавленный блеск» – на примере процесса управления доступом Процесс управления доступом Дал доступ Отобрал доступ Single sign-on внедри л Сменил дефаултны й пароль Процесс управления доступом (хороший уровень)
  17. 17. Управление доступом в ИСО 27002 A.9.1 Business requirements of access control A.9.1.1 Access control policy A.9.1.2 Access to networks and network services A.9.2 User access management A.9.2.1 User registration and de-registration A.9.2.2 User access provisioning A.9.2.3 Management of privileged access rights A.9.2.4 Management of secret authentication information of users A.9.2.5 Review of user access rights A.9.2.6 Removal or adjustment of access rights A.9.3 User responsibilities A.9.3.1 Use of secret authentication information A.9.4 System and application access control A.9.4.1 Information access restriction A.9.4.2 Secure log-on procedures A.9.4.3 Password management system A.9.4.4 Use of privileged utility programs A.9.4.5 Access control to program source code
  18. 18. • Редко встретишь • Сложно доказать • Абстрактно и ненужно выделять • Возможные примеры: • Управление рисками • Аудиты ИБ :) • Криптография? • Процесс обеспечения непрерывности бизнеса Вопрос: отдельные ИБ процессы?
  19. 19. Найдем ИБ в ИТ
  20. 20. Хинт: как распознать ИБ процесс? Любой процесс, обеспечивающий конфиденциальность, целостность и доступность обслуживаемого актива Например • Управление изменениями? • Отношения с подрядчиками? • Мощности, проблемы, SLA etc.
  21. 21. ИБ процессы в ITIL
  22. 22. Лирика: как ITIL видит ИБ? • Как ISMS построенную на ИСО 27001 • Как IT Security (но ISO 27001 – гораздо шире чем просто IT) • C ограниченным применением Risk mgmt. – хотя это «двигатель» ISMS • Абстрактно • Но тем не менее, дает много идей как построить ISMS (даже сверх ISO 27001) • KPI, challenges, CSF, OLA/SLA и др • Необычный взгляд на ИБ
  23. 23. IT Security Management process в ITIL
  24. 24. Планирование и мониторинг целей Требования ИСО 27001 Политики и процедуры СМИБ Корректирующие имеры Управление рисками Аудиты Измерения, метрики Комплекс защитных мер Классическая схема СМИБ
  25. 25. ИБ процессы в Cobit 5
  26. 26. ITIL брал! COBIT не брал… Лирика: существуют ли в природе внедренцы COBIT?
  27. 27. Найдем ИТ в ИБ
  28. 28. ИТ процессы в ИБ (ISO 27002) ИБ в управлении персоналом Управление активами Управление доступом Организация ИБ Криптография Физическая безопасность (оборудование) Антивирусная защита ПО Резервное копирование Логи и мониторинг Управление сетевой безопасностью ИБ при разработке ПО ИБ при работе с поставщиками Управление инцидентами Управление непрерывностью бизнеса (резервирование) Соответствие требованиям регуляторов Мобильные устройства и удаленная работа Техническая мера Косвенно техническая мера Нетехническая мера Легенда:
  29. 29. ИТ процессы в ИБ (NIST)
  30. 30. Предположение: блеск и величие ИБ – в ее многоплановости
  31. 31. Многоплановость ИБ Источник: NIST Cybersecurity framework
  32. 32. Многоплановость ИБ
  33. 33. Многоплановость ИБ
  34. 34. Вопрос: почему такая хорошая штука нервирует?
  35. 35. Слишком много блеска - плохо
  36. 36. Недооценка рисков и ИБ в целом - плохо
  37. 37. Что же такое интеграция ИТ и ИБ? Это командная игра)
  38. 38. Суммируя • ИБ и ИТ - практики равнозначны, но ИБ более многопланова • ИБ и ИТ имеют разные сущности, имеется конфликт интересов • Решение – в решении владельца связанных активов • ИБ – это как блеск, level up на процессе ИТ
  39. 39. АлексейЕвменков, CISM isqa.ru evmenkov@gmail.com Авторский курс: Внедрение СМИБ Расширенная практическая часть, полное руководство по внедрению ИСО 27001 и защитных мер из ИСО 27002 http://edu.softline.by/courses/smib.html

×