View
169
Download
2
Category
Preview:
DESCRIPTION
Автоматизация СУИБ с помощью GRC-систем (Governance Risk Compliance)
Citation preview
Гарбузов Георгий
Отдел консалтинга ЦИБ
Консалтинг ИБ: взгляд с
позиций GRC
7 октября 2014 г.
Гарбузов Георгий
Отдел консалтинга ЦИБ
Консалтинг ИБ: взгляд с
позиций GRC
...или будни ИБ консультанта
7 октября 2014 г.
© 2014 Инфосистемы Джет Больше чем безопасность
3
Ассортимент консультанта
Проекты по приведению в соответствие • Персональные данные;
• PCI DSS и др.
Аудиты ИБ • Экспертные аудиты;
• Оценка защищенности.
Внедрение правовых режимов • Коммерческая тайна…
Разработка нормативной документации
Оценка рисков, построение СУИБ
Стратегический консалтинг
© 2014 Инфосистемы Джет Больше чем безопасность
4
Зачем компаниям СУИБ?
Снижение потерь от инцидентов
Снижение операционных затрат
Прозрачность деятельности ИБ
Повышение доверия
Управление соответствием
© 2014 Инфосистемы Джет Больше чем безопасность
5
…на самом деле;)
Требует руководство
Ждем реальной пользы
Нужен сертификат
У других уже есть, чем мы хуже?
Высокобюджетный проект
© 2014 Инфосистемы Джет Больше чем безопасность
6
Самая явная выгода
Положительно влияет на
репутацию и стоимость бренда
Обеспечивает преимущества
при участии в конкурсах
Упрощает процессы
прохождения аудитов
© 2014 Инфосистемы Джет Больше чем безопасность
7
СУИБ: объективные трудности
Запутанные и многомерные требования • Различные объекты соответствия;
• Различные ведомства-предъявители требований;
• Постоянный правовой дрейф.
Сложность восприятия бизнесом идей ИБ • Цели ИБ не всегда соответствуют целям бизнеса;
• Непрозрачность деятельности ИБ;
• ИБ не владеет терминологией, ценной для бизнеса.
Усложнение ИТ технологий • Сложность оценки состояния;
• Неадекватная оценка рисков;
• Неготовность к приходу прогрессивных технологий;
Большой объем рутины, нехватка «рук» • Численность вовлеченных работников;
• Территориальная распределенность;
• Большое количество процессов.
© 2014 Инфосистемы Джет Больше чем безопасность
8
Автоматизация СИУБ
“The coordinated functions that “The coordinated functions that set and enforce the boundaries set and enforce the boundaries
within which an organization seeks within which an organization seeks to maximize performanceto maximize performance” ”
Forrester
Основные функции GRC систем
• Управление рисками;
• Управление соответствием;
• Управление политиками;
• Управление внутренним аудитом;
• Управление непрерывностью бизнеса;
• Управление инцидентами;
• Управление конфигурациями.
Governance
Risk
Compliance
© 2014 Инфосистемы Джет Больше чем безопасность
9
Выгоды от внедрения GRC-систем
Совместная работа различных ролей и подразделений в
едином процессе и информационном пространстве
Возможность целостного видения ситуации в области
управления рисками и соответствия
Назначение приоритетов при выделении ресурсов
Возможность контролировать статус исключений и проблем
Снижение стоимости подготовки и проведения аудитов
Повышение эффективности процесса управления рисками
Отлаженный процесс отчетности и демонстрации
соответствия
© 2014 Инфосистемы Джет Больше чем безопасность
10
…при идеальном внедрении
© 2014 Инфосистемы Джет Больше чем безопасность
11
Процессы ИБ – первые вопросы…
TechnologyTechnology OverviewOverview forfor IT GRC: IT GRC: ClarifyingClarifying IT GRC IT GRC toto MatchMatch TechnologyTechnology toto NeedNeed
© 2014 Инфосистемы Джет Больше чем безопасность
12
…и проблемы внедрения
Уникальность каждого внедрения
Высокая стоимость
Неготовность бизнеса - «анархия»
в процессах и частые перемены
© 2014 Инфосистемы Джет Больше чем безопасность
13
«Внедрить» или «внедрять»?
© 2014 Инфосистемы Джет Больше чем безопасность
14
Что было нужно?
Стратегический уровень
Тактический уровень
Операционный уровень
© 2014 Инфосистемы Джет Больше чем безопасность
15
Структура системы
© 2014 Инфосистемы Джет Больше чем безопасность
16
Возможности интеграции
DLP
SIEM
Web-фильтрация
Antivirus
Защита web-
приложений Защита БД
Защита каналов
Сканер
защищенности
Сетевая защита
Защита от утечек через
съемные носители
ITSM
Любая иная система
JiVSJiVS
© 2014 Инфосистемы Джет Больше чем безопасность
17
Jet inView Security
Спасибо за внимание!
Гарбузов Георгий
Начальник отдела консалтинга
+7 495 411-7601
Recommended