18
Гарбузов Георгий Отдел консалтинга ЦИБ Консалтинг ИБ: взгляд с позиций GRC 7 октября 2014 г.

Консалтинг и GRC 2014

Embed Size (px)

DESCRIPTION

Автоматизация СУИБ с помощью GRC-систем (Governance Risk Compliance)

Citation preview

Page 1: Консалтинг и GRC 2014

Гарбузов Георгий

Отдел консалтинга ЦИБ

Консалтинг ИБ: взгляд с

позиций GRC

7 октября 2014 г.

Page 2: Консалтинг и GRC 2014

Гарбузов Георгий

Отдел консалтинга ЦИБ

Консалтинг ИБ: взгляд с

позиций GRC

...или будни ИБ консультанта

7 октября 2014 г.

Page 3: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

3

Ассортимент консультанта

Проекты по приведению в соответствие • Персональные данные;

• PCI DSS и др.

Аудиты ИБ • Экспертные аудиты;

• Оценка защищенности.

Внедрение правовых режимов • Коммерческая тайна…

Разработка нормативной документации

Оценка рисков, построение СУИБ

Стратегический консалтинг

Page 4: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

4

Зачем компаниям СУИБ?

Снижение потерь от инцидентов

Снижение операционных затрат

Прозрачность деятельности ИБ

Повышение доверия

Управление соответствием

Page 5: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

5

…на самом деле;)

Требует руководство

Ждем реальной пользы

Нужен сертификат

У других уже есть, чем мы хуже?

Высокобюджетный проект

Page 6: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

6

Самая явная выгода

Положительно влияет на

репутацию и стоимость бренда

Обеспечивает преимущества

при участии в конкурсах

Упрощает процессы

прохождения аудитов

Page 7: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

7

СУИБ: объективные трудности

Запутанные и многомерные требования • Различные объекты соответствия;

• Различные ведомства-предъявители требований;

• Постоянный правовой дрейф.

Сложность восприятия бизнесом идей ИБ • Цели ИБ не всегда соответствуют целям бизнеса;

• Непрозрачность деятельности ИБ;

• ИБ не владеет терминологией, ценной для бизнеса.

Усложнение ИТ технологий • Сложность оценки состояния;

• Неадекватная оценка рисков;

• Неготовность к приходу прогрессивных технологий;

Большой объем рутины, нехватка «рук» • Численность вовлеченных работников;

• Территориальная распределенность;

• Большое количество процессов.

Page 8: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

8

Автоматизация СИУБ

“The coordinated functions that “The coordinated functions that set and enforce the boundaries set and enforce the boundaries

within which an organization seeks within which an organization seeks to maximize performanceto maximize performance” ”

Forrester

Основные функции GRC систем

• Управление рисками;

• Управление соответствием;

• Управление политиками;

• Управление внутренним аудитом;

• Управление непрерывностью бизнеса;

• Управление инцидентами;

• Управление конфигурациями.

Governance

Risk

Compliance

Page 9: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

9

Выгоды от внедрения GRC-систем

Совместная работа различных ролей и подразделений в

едином процессе и информационном пространстве

Возможность целостного видения ситуации в области

управления рисками и соответствия

Назначение приоритетов при выделении ресурсов

Возможность контролировать статус исключений и проблем

Снижение стоимости подготовки и проведения аудитов

Повышение эффективности процесса управления рисками

Отлаженный процесс отчетности и демонстрации

соответствия

Page 10: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

10

…при идеальном внедрении

Page 11: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

11

Процессы ИБ – первые вопросы…

TechnologyTechnology OverviewOverview forfor IT GRC: IT GRC: ClarifyingClarifying IT GRC IT GRC toto MatchMatch TechnologyTechnology toto NeedNeed

Page 12: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

12

…и проблемы внедрения

Уникальность каждого внедрения

Высокая стоимость

Неготовность бизнеса - «анархия»

в процессах и частые перемены

Page 13: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

13

«Внедрить» или «внедрять»?

Page 14: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

14

Что было нужно?

Стратегический уровень

Тактический уровень

Операционный уровень

Page 15: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

15

Структура системы

Page 16: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

16

Возможности интеграции

DLP

SIEM

Web-фильтрация

Antivirus

Защита web-

приложений Защита БД

Защита каналов

Сканер

защищенности

Сетевая защита

Защита от утечек через

съемные носители

ITSM

Любая иная система

JiVSJiVS

Page 17: Консалтинг и GRC 2014

© 2014 Инфосистемы Джет Больше чем безопасность

17

Jet inView Security

Page 18: Консалтинг и GRC 2014

Спасибо за внимание!

Гарбузов Георгий

Начальник отдела консалтинга

+7 495 411-7601