Как в пылу борьбы за c и r, не забыть про g

1/19© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009

Как в пылу борьбы за R и C не забыть, что такое G?

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 2/19

ComplianceCompliance

Compliance

Compliance

Compliance

Governance

Compliance

Risk Mgmt.

GovernanceRisk Mgmt.

Risk Mgmt.

Governance

Risk Mgmt.

Risk Mgmt.

Risk Mgmt.

Governance

Compliance

Risk Mgmt.

Governance

U.S.

Germany

Japan

U.K.

France

China

Canada

India

SecurityProj.

Mgmt.Doc.

Mgmt. Contracts Planning Customers ERP Production Billing

SOX JSOXCreditRisk

HumanCapital

Risk

RevenueRecognitionFDA

ROHS

WEEE

ProjectRisk

Board of Directors

Finance

Legal

Sales

Contracts

HR

Controller

IT

Policy Mgmt.

Audit & Compliance

Treasury

Data Center

Campus

Branch

Teleworker

GRC – это решение!


Стандарты Governance для ИТ

AS8015 (будущий ISO):Corporate Governance of ICT

AS8016:Projects

AS8017:Operations

AS8019:Information

Стандарты де юре управления ИТ

ISO 20000:ITSM

ISO 17799 & ISO 27001:Info Security

Стандарты де-факто управления ИТ

ITIL

Prince 2

CoBiT

PMBoK

Gateway

ValIT

GAISP

Другие связанные формальные стандарты

ISO9000 (Quality)

…

VERS (Records)

ISO 15489 (Records)

AS 4360 (Risk)

Национальные и международные

бизнес-требования

OECD Principles of Corporate Governance

IFRS

…

Basel II

COSO

Sarbanes Oxley

UK Combined Code (1998) & Turnbull Report (1999)

EU 8th directive on company law

Records Keeping laws

(anti) spam laws

Freedom of Information

Privacy laws

Множество требований Compliance


Стандарты управления рисками

AS/NZS 4360

HB 167:200X

EBIOS

ISO 27005 (ISO/IEC IS 13335-2)

MAGERIT

MARION

MEHARI

CRISAM

OCTAVE

ISO 31000

NIST SP 800-3

SOMAP

Lanifex Risk Compass

Austrian IT Security Handbook

на основе CRAMM

A&K Analysis

ISF IRAM (включая SARA, SPRINT)

OSSTMM RAV

BSI 100-3


Чего нам не хватает?

Compliance Management

Risk Management

Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов

Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса


Security Management: панацея?

Security Management

Risk Management

Compliance Management


Нельзя отказаться

от проекта

приводит..

Очень много

проектов

Падает качество

Недооценка

рисков и затрат

Проекты не

связаны со

стратегией

Перерасход

бюджета

Срыв сроков

С бизнесом не

связано

Отсутствие

доверия к ИБ

в результате

Преимуществ

не видно

Ситуация

Противодействие

пользователей ИБ-

проектам

Отсутствие

стратегии развития

Проекты «продаются»

на эмоциях

Нет процесса оценки

Перебор с

финансовым ROI

Нет четких

критериев для

выбора

Ситуация меняется… но не для бизнеса


Управление стратегией

Управление проектами

Упр

авл

ение

архите

ктур

ой

Управление

активами

Операционное управление

• Selective hearing

• Wishful thinking

• Fear

• Emotional over-

investment

Разрыв между бизнесом и технологиями

?


“Невозможно решить проблему на том же уровне, на котором она возникла.Нужно стать выше этой проблемы, поднявшись на следующий уровень.”

Альберт Эйнштейн


Security Governance как связующее звено


. . . связь между бизнесом и управлением ИБ

. . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры

. . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности

…подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации

Определения Security Governance


Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений

…взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией

Определения Security Governance


Governance ≠ Management

При едином переводе на русский язык как «управление», это понятия совершенно разного уровня

Security governance поддерживает следующиедисциплины:

Управление ИБ-активами

Управление ИБ-портфолио

Архитектура ИБ предприятия

Управление ИБ-проектами

Управление ИБ-программами

Управление ИБ-сервисами

Оптимизация бизнес-технологий

Измерение ценности и вклада ИБ в бизнес

Связь с другими дисциплинами




Упр

авл

ение

архите

ктур

ой


активами


Управление программой

Управление портфолио

Модель Security Governance




Упр

авл

ение

архите

ктур

ой


активами


Управление программой

Управление портфолио

Закрываем бизнес-проблемы

52%

• Дублирование

инициатив

• Решения, не связанные

с бизнесом

• Слабо продуманные

инициативы (очень

поздно, очень рано, не

требуется)

33%• Неполностью

утилизированная

инфраструктура

• Частые повторы

из-за слабой

архитектуры

• Доработка

(неадекватные

требования)

• Повторное

проектирование

(упущения из-за

пропуска

изменений)

• Ресурсы не

связаны с

бизнесом

15%

Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s.


?

Security Governance

Объединяя все вместе

Защитные меры

Управление рисками


соответствием

Управление ИБ


Новый взгляд на безопасность


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410

Презентация выложена на сайте http://lukatsky.blogspot.com/

Как в пылу борьбы за c и r, не забыть про g

Business