SlideShare a Scribd company logo

Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный семинар RISC

RISClubSPb
RISClubSPb

http://www.risc.today/

Education
1 of 16
Download to read offline
Проблема взаимодействия ИТ и ИБ. Взгляд со стороны ИБ Юрий Шойдин Член правления Российского Союза ИТ-директоров
Познакомимся  Связан с ИТ отраслью с 1992 года.  Имею 3 высших профильных образования, в том, числе МВА и несколько специальных  Основная специализация - проектирование сложных изменений в организации и системах управления  Более 35 проектов внедрения информационных систем (учетных и систем безопасности) на предприятиях по всей России в качестве РП  Участвовал в создании элементов Электронного Правительства (ЭП) в Правительстве Санкт-Петербурга  Являюсь: • Действующим руководителем проектов (PMP) • Членом Правления Российского Союза ИТ директоров (СоДИТ) • Членом Правления Ассоциации Руководителей Служб ИБ (АРСИБ) 2
Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости. Эптон Синклер 3
Требования к информации: • Доступность информации • Достоверность информации • Своевременность информации • Конфиденциальность информации Требования Бизнеса (1/2) Информация – самый важный из ресурсов современного общества, вокруг которого крутятся деньги. Развитие ИТ: • Технологии • Оборудование и программное обеспечение • Сети (проводные и беспровод- ные) • Внешняя инфраструктура • Организационные технологии 4
Требования Бизнеса (2/2) К подразделению СБ/ИБ: • Защита информации от утечек в любой форме • Разделение уровня информированности (полномочий, доступов) • Разные виды контролей (внутри ИС или на основании ее данных) • Анализ рисков организации • Выполнение требований регуляторов (защита ПДн) К подразделению ИТ: • Снижение зависимости от ИТ • Обеспечение доступности информации • Анализ рисков • Измерение эффективности процессов • Персонализация • Оптимизация расходов 5
Дорожная карта Шаги Действие Описание 1 Признание проблемы Чувствуем, что-то не то, начинаем оглядываться… 2 Сбор признаков (симптомов) Определение признаков, которые дают нам понимание в чем выражается проблема 3 Анализ признаков и выявление проблемы Формулирование проблемы 4 Анализ проблемы и выявление ее причины Определение из-за чего появилась проблема, что нужно изменить, чтобы проблема исчезла 5 Планирование мероприятий действующих на причину Что и кто должен делать чтобы избежать *** В данном случае уместно использовать «Технологию проектирования сложного изменения в организации», так как это позволяет не только выявить причины происходящего, но и сформировать план действий по изменению ситуации. 6
Основные проблемы взаимодействия ИТ и СБ/ИБ • Распределение ресурсов и полномочий • Взаимоисключающая деятельность • Что еще? … 7
Проблема 1. Распределение ресурсов и полномочий Прогр.-Тех. средства Персонал За ресурсы ИТ ИБ За полномочия Кто принимает Зона конфликта решение Кто несет ответственность 8
Причины конфликта ИТ и СБ/ИБ • Условие: Два мальчика в песочнице. Один играет в машинки и строит дороги, другой делает куличики из формочек • Вопрос 1: Что произойдет через некоторое время? • Вопрос 2: Почему это произошло? • Целью деятельности любого подразделения безопасности является защита (сохранение, недопущение и проч…), соответственно метод обеспечения – это ограничения. • Деятельность ИТ обратная по своей природе – еще быстрее, доступнее и проч …, соответственно, и метод обеспечения – открытость и мобильность, что в корне противоречит целям и методам безопасности. 9
Проблема 2. Противонаправленность действий Увеличение доступности ИБ Максимум открытости может быть только при максимуме контроля ИТ СБ Уменьшение доступности Теорема о точке равновесия: Конечный конфликт N субъектов с полной информацией имеет точку равновесия. 10
Причины порождающие проблемы • Несоответствующая организационная структура • Разные типы мышления ИТ и СБ • Что еще?... 11
Причина 1. Организационная структура Подчиненность первому лицу / совету директоров Подчиненность подразделению ИТ 5 Подчиненность подразделению безопасности Не крупные компании с ярко выраженной ИТ Наибольшее распространение составляющей 12
Место ИБ в структуре предприятия Подчиненность Первое лицо / СД Подразделение ИТ Подразделение безопасности Плюсы 1. Статус направления; 2. Общение напрямую с первым лицом/советом директоров; 3. Независимость в принятии управленческих решений; 4. Эффективность деятельности; 5. Соответствие мировой практике. 1. Эффективность взаимодействия ИБ и ИТ; 2. Высокий уровень компетенции специалистов ИБ в специфике ИТ инфраструктуры компании; 3. Единый центр ответственности. 1. Комплексный подход к информационной безопасности за счет взаимодействия с физической и экономической безопасностью; 2. Независимость в принятии управленческих решений; 3. Эффективный контроль внутренних угроз. Минусы 1. Неготовность российского менеджмента. Исключение – банковская сфера; 2. Недостаточная квалификация менеджеров по информационной безопасности; 3. Малое количество прецедентов в России. 1. Зависимость направления ИБ от ИТ; 2. Сомнительная эффективность контроля состояния информационной безопасности; 3. Основная направленность – безопасность ИТ-сервисов (сетевая безопасность, антивирусная защита и др.); 4. Контроль внутренних угроз не входит в компетенцию ИТ. 1. Низкая квалификация руководителей безопасности в вопросах ИБ; 2. Разделение ответственности с ИТ в части непрерывности ИТ- сервисов; 3. Основная направленность – мониторинг и расследование инцидентов. Реже аудит ИБ, анализ рисков, контроль эффективности менеджмента ИБ. 13
Причина 2. Разные типы мышления • Психология CSO=CEO основана на элементах ре-активного управления. Как правило, это управление по отклонениям. При выявлении проблемы идет команда, что необходимо сделать для ее устранения. В последствии рефлексия и ограничение, чтобы не повторить. • Психология же CIO основана на элементах про-активного управления. Это использование потенциальных возможностей: мы видим технические возможности и можем предложить их для устранения возможных проблем в будущем. Это и есть основная психологическая проблема «разных языков» CIO и CSO. А какая должна быть психология CISO? 14
Методы устранения проблем Структура. Функции KPI. Мотивация Полномочия. Ответственность Правильно определить место ИБ в структуре. Разделить функции СБ, ИБ, ИТ Пересмотреть систему мотивации/демотиваци и. Ввести связанные KPI (зависящие от второго подразделения) Прописать на уровне подразделения не только полномочия, но и ответственность. Составить матрицы ответственности за функции или сервисы Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости. Эптон Синклер
Чеширский Кот, - начала Алиса, – не будете ли Вы так любезны подсказать мне, каким путем лучше выйти отсюда? Это зависит от того, куда Вы хотите попасть, – сказал Кот. 16

Recommended

Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
RISClubSPb
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
RISClubSPb
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
RISClubSPb
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
RISClubSPb
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
RISClubSPb
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
RISClubSPb
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости Dlp
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
Solar Security
 
Information classification
Information classificationInformation classification
Information classification
Aleksey Lukatskiy
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Aleksey Lukatskiy
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоров
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...
Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...
Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...
Alexander Novichkov
 

More Related Content

What's hot

Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 

What's hot (19)

пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
 
пр человек смотрящий для Risc
пр человек смотрящий для Riscпр человек смотрящий для Risc
пр человек смотрящий для Risc
 
1. intro dlp 2014 09
1. intro dlp 2014 091. intro dlp 2014 09
1. intro dlp 2014 09
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить
 
Information classification
Information classificationInformation classification
Information classification
 
пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017пр Сколько зарабатывают специалисты по ИБ в России 2017
пр Сколько зарабатывают специалисты по ИБ в России 2017
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013пр вебинар эволюция Dlp iw 07 2013
пр вебинар эволюция Dlp iw 07 2013
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
пр Все про Dlp 1.1
пр Все про Dlp 1.1пр Все про Dlp 1.1
пр Все про Dlp 1.1
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр Лучшие практики SOC
пр Лучшие практики SOCпр Лучшие практики SOC
пр Лучшие практики SOC
 

Similar to Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный семинар RISC

Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
Aleksey Lukatskiy
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоров
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
imbasoft ru
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2
Expolink
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Expolink
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
Alexey Evmenkov
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
It менеджер
It менеджерIt менеджер
It менеджер
vaxden
 
Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?
Aleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
Aleksey Lukatskiy
 
Развиваем безопасность на производстве
Развиваем безопасность на производствеРазвиваем безопасность на производстве
Развиваем безопасность на производстве
ECOPSY Consulting
 
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...
Pointlane
 

Similar to Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный семинар RISC (20)

Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"Программа курса "Измерение эффективности ИБ"
Программа курса "Измерение эффективности ИБ"
 
пр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоровпр психологические аспекты информационной безопасности прозоров
пр психологические аспекты информационной безопасности прозоров
 
Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...
Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...
Буклет тренинга "Коммуникации и психология межличностных отношений в ИТ-проек...
 
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
ISsoft. Алексей Евменков. "Простая ИБ для непростых организаций"
 
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
 
ект до 2014 v2
ект до 2014 v2ект до 2014 v2
ект до 2014 v2
 
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
Шойдин (СоДИТ) "Подводные камни при внедрении СЭД"
 
Простая ИБ для обычных организаций
Простая ИБ для обычных организацийПростая ИБ для обычных организаций
Простая ИБ для обычных организаций
 
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
 
Зачем измерять информационную безопасность
Зачем измерять информационную безопасностьЗачем измерять информационную безопасность
Зачем измерять информационную безопасность
 
рус.Startup point.день ментора(1)
рус.Startup point.день ментора(1)рус.Startup point.день ментора(1)
рус.Startup point.день ментора(1)
 
It менеджер
It менеджерIt менеджер
It менеджер
 
Как довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до умаКак довести проект по информационной безопасности до ума
Как довести проект по информационной безопасности до ума
 
Дмитрий Безуглый - Почему из ИТ-ков получаются плохие руководители?
Дмитрий Безуглый - Почему из ИТ-ков получаются плохие руководители?Дмитрий Безуглый - Почему из ИТ-ков получаются плохие руководители?
Дмитрий Безуглый - Почему из ИТ-ков получаются плохие руководители?
 
Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?Разработка большой Информационной Системы. С чего начать?
Разработка большой Информационной Системы. С чего начать?
 
Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?Почему у нас все так, а не иначе в области ИБ?
Почему у нас все так, а не иначе в области ИБ?
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Развиваем безопасность на производстве
Развиваем безопасность на производствеРазвиваем безопасность на производстве
Развиваем безопасность на производстве
 
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...
 

More from RISClubSPb

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
RISClubSPb
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
RISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
RISClubSPb
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
RISClubSPb
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасности
RISClubSPb
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
RISClubSPb
 
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCСтрахование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
RISClubSPb
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
RISClubSPb
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
RISClubSPb
 
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCДеятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
RISClubSPb
 
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
RISClubSPb
 
Криминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииКриминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновении
RISClubSPb
 
Как эффективно работать с информацией
Как эффективно работать с информациейКак эффективно работать с информацией
Как эффективно работать с информацией
RISClubSPb
 
Тестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограниченияТестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограничения
RISClubSPb
 

More from RISClubSPb (20)

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
 
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
 
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасности
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
 
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCСтрахование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
 
Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
 
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCДеятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
 
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
 
Психология на службе ИБ
Психология на службе ИБПсихология на службе ИБ
Психология на службе ИБ
 
Криминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииКриминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновении
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБ
 
Как эффективно работать с информацией
Как эффективно работать с информациейКак эффективно работать с информацией
Как эффективно работать с информацией
 
Тестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограниченияТестирование на проникновение: задача, решение и ограничения
Тестирование на проникновение: задача, решение и ограничения
 

Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный семинар RISC

  • 1. Проблема взаимодействия ИТ и ИБ. Взгляд со стороны ИБ Юрий Шойдин Член правления Российского Союза ИТ-директоров
  • 2. Познакомимся  Связан с ИТ отраслью с 1992 года.  Имею 3 высших профильных образования, в том, числе МВА и несколько специальных  Основная специализация - проектирование сложных изменений в организации и системах управления  Более 35 проектов внедрения информационных систем (учетных и систем безопасности) на предприятиях по всей России в качестве РП  Участвовал в создании элементов Электронного Правительства (ЭП) в Правительстве Санкт-Петербурга  Являюсь: • Действующим руководителем проектов (PMP) • Членом Правления Российского Союза ИТ директоров (СоДИТ) • Членом Правления Ассоциации Руководителей Служб ИБ (АРСИБ) 2
  • 3. Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости. Эптон Синклер 3
  • 4. Требования к информации: • Доступность информации • Достоверность информации • Своевременность информации • Конфиденциальность информации Требования Бизнеса (1/2) Информация – самый важный из ресурсов современного общества, вокруг которого крутятся деньги. Развитие ИТ: • Технологии • Оборудование и программное обеспечение • Сети (проводные и беспровод- ные) • Внешняя инфраструктура • Организационные технологии 4
  • 5. Требования Бизнеса (2/2) К подразделению СБ/ИБ: • Защита информации от утечек в любой форме • Разделение уровня информированности (полномочий, доступов) • Разные виды контролей (внутри ИС или на основании ее данных) • Анализ рисков организации • Выполнение требований регуляторов (защита ПДн) К подразделению ИТ: • Снижение зависимости от ИТ • Обеспечение доступности информации • Анализ рисков • Измерение эффективности процессов • Персонализация • Оптимизация расходов 5
  • 6. Дорожная карта Шаги Действие Описание 1 Признание проблемы Чувствуем, что-то не то, начинаем оглядываться… 2 Сбор признаков (симптомов) Определение признаков, которые дают нам понимание в чем выражается проблема 3 Анализ признаков и выявление проблемы Формулирование проблемы 4 Анализ проблемы и выявление ее причины Определение из-за чего появилась проблема, что нужно изменить, чтобы проблема исчезла 5 Планирование мероприятий действующих на причину Что и кто должен делать чтобы избежать *** В данном случае уместно использовать «Технологию проектирования сложного изменения в организации», так как это позволяет не только выявить причины происходящего, но и сформировать план действий по изменению ситуации. 6
  • 7. Основные проблемы взаимодействия ИТ и СБ/ИБ • Распределение ресурсов и полномочий • Взаимоисключающая деятельность • Что еще? … 7
  • 8. Проблема 1. Распределение ресурсов и полномочий Прогр.-Тех. средства Персонал За ресурсы ИТ ИБ За полномочия Кто принимает Зона конфликта решение Кто несет ответственность 8
  • 9. Причины конфликта ИТ и СБ/ИБ • Условие: Два мальчика в песочнице. Один играет в машинки и строит дороги, другой делает куличики из формочек • Вопрос 1: Что произойдет через некоторое время? • Вопрос 2: Почему это произошло? • Целью деятельности любого подразделения безопасности является защита (сохранение, недопущение и проч…), соответственно метод обеспечения – это ограничения. • Деятельность ИТ обратная по своей природе – еще быстрее, доступнее и проч …, соответственно, и метод обеспечения – открытость и мобильность, что в корне противоречит целям и методам безопасности. 9
  • 10. Проблема 2. Противонаправленность действий Увеличение доступности ИБ Максимум открытости может быть только при максимуме контроля ИТ СБ Уменьшение доступности Теорема о точке равновесия: Конечный конфликт N субъектов с полной информацией имеет точку равновесия. 10
  • 11. Причины порождающие проблемы • Несоответствующая организационная структура • Разные типы мышления ИТ и СБ • Что еще?... 11
  • 12. Причина 1. Организационная структура Подчиненность первому лицу / совету директоров Подчиненность подразделению ИТ 5 Подчиненность подразделению безопасности Не крупные компании с ярко выраженной ИТ Наибольшее распространение составляющей 12
  • 13. Место ИБ в структуре предприятия Подчиненность Первое лицо / СД Подразделение ИТ Подразделение безопасности Плюсы 1. Статус направления; 2. Общение напрямую с первым лицом/советом директоров; 3. Независимость в принятии управленческих решений; 4. Эффективность деятельности; 5. Соответствие мировой практике. 1. Эффективность взаимодействия ИБ и ИТ; 2. Высокий уровень компетенции специалистов ИБ в специфике ИТ инфраструктуры компании; 3. Единый центр ответственности. 1. Комплексный подход к информационной безопасности за счет взаимодействия с физической и экономической безопасностью; 2. Независимость в принятии управленческих решений; 3. Эффективный контроль внутренних угроз. Минусы 1. Неготовность российского менеджмента. Исключение – банковская сфера; 2. Недостаточная квалификация менеджеров по информационной безопасности; 3. Малое количество прецедентов в России. 1. Зависимость направления ИБ от ИТ; 2. Сомнительная эффективность контроля состояния информационной безопасности; 3. Основная направленность – безопасность ИТ-сервисов (сетевая безопасность, антивирусная защита и др.); 4. Контроль внутренних угроз не входит в компетенцию ИТ. 1. Низкая квалификация руководителей безопасности в вопросах ИБ; 2. Разделение ответственности с ИТ в части непрерывности ИТ- сервисов; 3. Основная направленность – мониторинг и расследование инцидентов. Реже аудит ИБ, анализ рисков, контроль эффективности менеджмента ИБ. 13
  • 14. Причина 2. Разные типы мышления • Психология CSO=CEO основана на элементах ре-активного управления. Как правило, это управление по отклонениям. При выявлении проблемы идет команда, что необходимо сделать для ее устранения. В последствии рефлексия и ограничение, чтобы не повторить. • Психология же CIO основана на элементах про-активного управления. Это использование потенциальных возможностей: мы видим технические возможности и можем предложить их для устранения возможных проблем в будущем. Это и есть основная психологическая проблема «разных языков» CIO и CSO. А какая должна быть психология CISO? 14
  • 15. Методы устранения проблем Структура. Функции KPI. Мотивация Полномочия. Ответственность Правильно определить место ИБ в структуре. Разделить функции СБ, ИБ, ИТ Пересмотреть систему мотивации/демотиваци и. Ввести связанные KPI (зависящие от второго подразделения) Прописать на уровне подразделения не только полномочия, но и ответственность. Составить матрицы ответственности за функции или сервисы Очень трудно заставить человека понять что-нибудь, если его доход напрямую зависит от его непонятливости. Эптон Синклер
  • 16. Чеширский Кот, - начала Алиса, – не будете ли Вы так любезны подсказать мне, каким путем лучше выйти отсюда? Это зависит от того, куда Вы хотите попасть, – сказал Кот. 16