Как в пылу борьбы за c и r, не забыть про g
DESCRIPTION
TRANSCRIPT
1/19© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009
Как в пылу борьбы за R и C не забыть, что такое G?
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 2/19
ComplianceCompliance
Compliance
Compliance
Compliance
Governance
Compliance
Risk Mgmt.
GovernanceRisk Mgmt.
Risk Mgmt.
Governance
Risk Mgmt.
Risk Mgmt.
Risk Mgmt.
Governance
Compliance
Risk Mgmt.
Governance
U.S.
Germany
Japan
U.K.
France
China
Canada
India
SecurityProj.
Mgmt.Doc.
Mgmt. Contracts Planning Customers ERP Production Billing
SOX JSOXCreditRisk
HumanCapital
Risk
RevenueRecognitionFDA
ROHS
WEEE
ProjectRisk
Board of Directors
Finance
Legal
Sales
Contracts
HR
Controller
IT
Policy Mgmt.
Audit & Compliance
Treasury
Data Center
Campus
Branch
Teleworker
GRC – это решение!
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 3/19
Стандарты Governance для ИТ
AS8015 (будущий ISO):Corporate Governance of ICT
AS8016:Projects
AS8017:Operations
AS8019:Information
Стандарты де юре управления ИТ
ISO 20000:ITSM
ISO 17799 & ISO 27001:Info Security
Стандарты де-факто управления ИТ
ITIL
Prince 2
CoBiT
PMBoK
Gateway
ValIT
GAISP
Другие связанные формальные стандарты
ISO9000 (Quality)
…
VERS (Records)
ISO 15489 (Records)
AS 4360 (Risk)
Национальные и международные
бизнес-требования
OECD Principles of Corporate Governance
IFRS
…
Basel II
COSO
Sarbanes Oxley
UK Combined Code (1998) & Turnbull Report (1999)
EU 8th directive on company law
Records Keeping laws
(anti) spam laws
Freedom of Information
Privacy laws
Множество требований Compliance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 4/19
Стандарты управления рисками
AS/NZS 4360
HB 167:200X
EBIOS
ISO 27005 (ISO/IEC IS 13335-2)
MAGERIT
MARION
MEHARI
CRISAM
OCTAVE
ISO 31000
NIST SP 800-3
SOMAP
Lanifex Risk Compass
Austrian IT Security Handbook
на основе CRAMM
A&K Analysis
ISF IRAM (включая SARA, SPRINT)
OSSTMM RAV
BSI 100-3
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 5/19
Чего нам не хватает?
Compliance Management
Risk Management
Мы слишком концентрируемся на оценке и управлении рисками, а также на соответствии десяткам стандартов и нормативных актов
Но инцидентов от этого меньше не становится, как и понимания со стороны бизнеса
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 6/19
Security Management: панацея?
Security Management
Risk Management
Compliance Management
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 7/19
Нельзя отказаться
от проекта
приводит..
Очень много
проектов
Падает качество
Недооценка
рисков и затрат
Проекты не
связаны со
стратегией
Перерасход
бюджета
Срыв сроков
С бизнесом не
связано
Отсутствие
доверия к ИБ
в результате
Преимуществ
не видно
Ситуация
Противодействие
пользователей ИБ-
проектам
Отсутствие
стратегии развития
Проекты «продаются»
на эмоциях
Нет процесса оценки
Перебор с
финансовым ROI
Нет четких
критериев для
выбора
Ситуация меняется… но не для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 8/19
Управление стратегией
Управление проектами
Упр
авл
ение
архите
ктур
ой
Управление
активами
Операционное управление
• Selective hearing
• Wishful thinking
• Fear
• Emotional over-
investment
Разрыв между бизнесом и технологиями
?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 9/19
“Невозможно решить проблему на том же уровне, на котором она возникла.Нужно стать выше этой проблемы, поднявшись на следующий уровень.”
Альберт Эйнштейн
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 10/19
Security Governance как связующее звено
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 11/19
. . . связь между бизнесом и управлением ИБ
. . . стратегические ИБ-решения, за которые отвечает корпоративный менеджмент, а не CISO или другие ИБ-менеджеры
. . . Security Governance – это подмножество Corporate Governance, фокусирующееся на информационной безопасности
…подтверждение того, что ИБ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации
Определения Security Governance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 12/19
Security Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений
…взаимосвязь между ИБ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией
Определения Security Governance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 13/19
Governance ≠ Management
При едином переводе на русский язык как «управление», это понятия совершенно разного уровня
Security governance поддерживает следующиедисциплины:
Управление ИБ-активами
Управление ИБ-портфолио
Архитектура ИБ предприятия
Управление ИБ-проектами
Управление ИБ-программами
Управление ИБ-сервисами
Оптимизация бизнес-технологий
Измерение ценности и вклада ИБ в бизнес
Связь с другими дисциплинами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 14/19
Управление стратегией
Управление проектами
Упр
авл
ение
архите
ктур
ой
Управление
активами
Операционное управление
Управление программой
Управление портфолио
Модель Security Governance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 15/19
Управление стратегией
Управление проектами
Упр
авл
ение
архите
ктур
ой
Управление
активами
Операционное управление
Управление программой
Управление портфолио
Закрываем бизнес-проблемы
52%
• Дублирование
инициатив
• Решения, не связанные
с бизнесом
• Слабо продуманные
инициативы (очень
поздно, очень рано, не
требуется)
33%• Неполностью
утилизированная
инфраструктура
• Частые повторы
из-за слабой
архитектуры
• Доработка
(неадекватные
требования)
• Повторное
проектирование
(упущения из-за
пропуска
изменений)
• Ресурсы не
связаны с
бизнесом
15%
Источник: IBM Strategy & Change, Survey of Fortune 1000 CIO’s.
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 16/19
?
Security Governance
Объединяя все вместе
Защитные меры
Управление рисками
Управление
соответствием
Управление ИБ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 17/19
Новый взгляд на безопасность
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 18/19
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2009 19/19