Embed Size (px)
DESCRIPTION
Создание бизнес ориентированной стратегии информационной безопасности. Роман Чаплыгин 22 мая 2014. Стратегия информационной безопасности. Целью стратегии является отыскание такого пути, который требует наименьшего расхода времени и энергии и дает возможность достичь наибольшего успеха. - PowerPoint PPT Presentation
Citation preview
Создание бизнес ориентированной стратегии информационной безопасности
Роман Чаплыгин22 мая 2014
Стратегия информационной безопасности
222 мая 2014
Целью стратегии является отыскание такого пути, который требует наименьшего расхода времени и энергии и дает возможность достичь наибольшего успеха.
Брайан Трейси
Потребности в стратегии ИБТребования ИБ выше уровня риска
приемлемого для бизнеса:•н
едостаточная осведомленность ИБ о бизнес целях и потребностях•з
атягивание проектов из-за сложности реализации требований ИБ•о
тказ в большинстве бизнес-инициатив•д
лительная обработка запросов от бизнеса•И
Б не участвует в бизнес или ИТ проектах
Незнание или непонимание требований ИБ•р
уководство Банка выражает апатию к вопросам ИБ•в
ысокие затраты ресурсов и усилий на ИБ-инициативы•р
аботники не понимают требований ИБ или не знают как их выполнять•р
аботники не используют методы и средства защиты информации в своей работе•о
тсутствие прозрачной взаимосвязи деятельности ИБ и потребностей бизнеса
Требования ИБ не выполняются и не контролируются
•низкий уровень соответствия фактической обстановки требованиям ИБ
•проекты и работы по ИБ носят разовый или узконаправленный характер
•отсутствует или неэффективен контроль за соблюдением требований ИБ
•отсутствуют или недостаточны механизмы и средства реализации требований ИБ
322 мая 2014
Ключевые характеристики стратегии ИБСт
ратегическое планирование ИБ учитывает:•б
изнес стратегию и цели•р
иски и угрозы ИБ•т
енденции развития ИБ и лучшие практики•в
нешние факторы и отраслевые изменения•с
пецифику организации - культуру, технологии, процессы, компетенции и т.п.
Стратегическое планирование ИБ включает:
•формирование основы обеспечения ИБ
•определение направлений развития ИБ
•приоритезация целей и задач
•определение необходимых ресурсов
•определение показателей реализации стратегии
Стратегия ИБ позволяет обеспечить:
•Согласованность действий ИБ и бизнеса
•эффективное использование ресурсов и усилий
•повышение защиты информации от работ и мер обеспечения ИБ
422 мая 2014
Процесс разработки стратегии ИБ
Шаг 1: сбор данных для стратегического планирования
•определение текущего состояния ИБ
•определение направлений развития ИБ
Шаг 2: корреляция ИБ и бизнес активностей
•формирование перечня основных активностей
•определение целей, результатов и измерителей
•определение необходимых ресурсов для достижения целей
Шаг 3: ввод в действие стратегии
•согласование и утверждение стратегии
•каскадирование целей и задач стратегии
522 мая 2014
Определение текущего состояния ИБ•с
бор и консолидация данных об имеющихся мерах и средствах защиты•а
нализ нормативной базы ИБ•о
ценка соответствия внутренним и внешним требованиям ИБ•о
пределение «социального статуса ИБ» внутри организацииОпределение направлений развития ИБ
•анализ угроз и рисков ИБ
•определение внешних и внутренних тенденции развития ИБ
•определение сторон заинтересованных или оказывающих влияние на ИБ
Шаг 1 разработки стратегии ИБСбор информации для стратегического планирования
622 мая 2014
Создание основы стратегии ИБ
7
Фактическая ситуацияОтраслевые стандарты(СТО БР ИББС)
Законодательство(ПДн, НПС и т.п.)
Лучшие практики(ISO, Cobit, ITIL и т.п.)
22 мая 2014
Создание основы стратегии ИБ
8
Оценка текущего состояния:•результаты аудитов на соответствие стандартам;•внутренние контроли и проверки;•самооценки соблюдения требований законодательства.
Определение критичных несоответствий
«Социальный статус ИБ»:•информированность об ИБ;•роль ИБ;•отношение к ИБ;•приоритетность ИБ.
Получение внешнего взгляда на ИБВыделение направлений ИБ, требующих популяризации
22 мая 2014
Тенденции и практики ИБ
9
Отбор актуальных для организации направлений и включение их в базовые элементы обеспечения ИБ
22 мая 2014
Заинтересованные стороны
10
Определение интересов внешних и внутренних сторон, затрагивающих информационную
безопасность, и их влияния
22 мая 2014
Внешние факторы
11
Определение действий, по обработке внешних факторов
22 мая 2014
Риски и угрозы ИБ
12
Включить в элементы обеспечения ИБ меры минимизации рисков и угроз ИБ
22 мая 2014
Шаг 2 разработки стратегии ИБКорреляция ИБ и бизнес активностей
Формирование перечня основных активностей ИБ
•подготовка свода элементов обеспечения ИБ и выбор приоритетных направлений развития ИБ
•анализ направлений развития бизнеса
Определение целей, результатов и измерителей
•формирование целей по выбранным направлениям развития
•определение метрик для целей
•определение способов мониторинга и контроля достижения целей
Определение необходимых ресурсов для достижения целей
•анализ использования имеющихся ресурсов
•определение дополнительных ресурсов и динамики их изменения
1322 мая 2014
Свод элементов ИБ
14
Создание полного списка возможных мер и средств ИБ,
требующих развития
22 мая 2014
Направления развития бизнеса
15
Определение мер и технологий, поддерживающих выбранные направления развития бизнеса
22 мая 2014
Формирование стратегии ИБ
1622 мая 2014
Пример корреляции стратегий
17
Конкурентные условия
Увеличение скорости обработки информации
Фактическая защищенность без ущерба производительности
Бизнес выгоды Направления развития ИБ Цели ИБ Измерители
Фактическая защищенность без ущерба производительности.Минимизация воздействия СЗИ на производительность на уровне Пользователя
Усиление защиты информации на сетевом уровне (не на уровне пользователя)
Применение сетевой антивирусной фильтрации
Внедренное антивирусное решениеСнижение количества обнаружений вредоносного кода на рабочих станциях
Поддержка репутации и непрерывности деятельности Банка
Обеспечение непрерывности защиты информации
Создание резервных СЗИ и аварийных планов для них
Основные СЗИ имею резерв.Аварийные планы разработаны и протестированы
Бизнес
ИТИБ
22 мая 2014
Обеспечение стратегии ИБ ресурсами
Имеющиеся ресурсы:
•учет фактического использования ресурсов
•эффективное перераспределение ресурсов
Дополнительные ресурсы
•ввод и поддержание новых процессов и технологий
•выполнение новых процедур, НО и оптимизацияимеющихся
Динамика изменения потребностей в ресурсах
•увеличение территориального покрытия
•увеличение количества запросов и пользователей
•усиление контроля и увеличение точек контроля
•улучшение качества и скорости предоставления сервисов
1822 мая 2014
Шаг 3 разработки стратегии ИБВвод стратегии ИБ в действие
Согласование и утверждение стратегии
•встречи и тренинги с руководителями бизнес-подразделений
•обсуждение и корректировка направлений развития и целей ИБ
•утверждение стратегии ИБ топ-менеджментом
•доведение стратегии ИБ до всех работников
Каскадирование целей и задач стратегии
1922 мая 2014
Стратегия ИБ: заключение
Различные подходы к стратегическому планированию ИБ
2022 мая 2014
Модели стратегий ИБ
Существуют различные подходы и модели разработки бизнес-ориентированных стратегий ИБ
Главное что бы ВАША стратегия соответствовала ВАШЕМУ бизнесу и ВЫ могли реализовать ее
2122 мая 2014
Спасибо за внимание!
Роман Чаплыгин
Увидимся онлайн:
http://lnkd.in/dPhcF5F
22
