Чаплыгин Роман, директор по анализу и контролю рисков

реклама
Создание бизнес
ориентированной
стратегии информационной
безопасности
Роман Чаплыгин
22 мая 2014
Стратегия информационной безопасности
Целью стратегии является
отыскание такого пути,
который требует наименьшего
расхода времени и энергии и
дает возможность достичь
наибольшего успеха.
Брайан Трейси
22 мая 2014
2
Потребности в стратегии ИБ
Требования ИБ выше уровня риска приемлемого для бизнеса:
недостаточная осведомленность ИБ о бизнес целях и потребностях
затягивание проектов из-за сложности реализации требований ИБ
отказ в большинстве бизнес-инициатив
длительная обработка запросов от бизнеса
ИБ не участвует в бизнес или ИТ проектах
Незнание или непонимание требований ИБ
руководство Банка выражает апатию к вопросам ИБ
высокие затраты ресурсов и усилий на ИБ-инициативы
работники не понимают требований ИБ или не знают как их выполнять
работники не используют методы и средства защиты информации в своей работе
отсутствие прозрачной взаимосвязи деятельности ИБ и потребностей бизнеса
Требования ИБ не выполняются и не контролируются
низкий уровень соответствия фактической обстановки требованиям ИБ
проекты и работы по ИБ носят разовый или узконаправленный характер
отсутствует или неэффективен контроль за соблюдением требований ИБ
отсутствуют или недостаточны механизмы и средства реализации требований ИБ
22 мая 2014
3
Ключевые характеристики стратегии ИБ
Стратегическое планирование ИБ учитывает:
бизнес стратегию и цели
риски и угрозы ИБ
тенденции развития ИБ и лучшие практики
внешние факторы и отраслевые изменения
специфику организации - культуру, технологии,
процессы, компетенции и т.п.
Стратегическое планирование ИБ включает:
формирование основы обеспечения ИБ
определение направлений развития ИБ
приоритезация целей и задач
определение необходимых ресурсов
определение показателей реализации стратегии
Стратегия ИБ позволяет обеспечить:
Согласованность действий ИБ и бизнеса
эффективное использование ресурсов и усилий
повышение защиты информации от работ и мер
обеспечения ИБ
22 мая 2014
4
Процесс разработки стратегии ИБ
Шаг 1: сбор данных для стратегического
планирования
определение текущего состояния ИБ
определение направлений развития ИБ
Шаг 2: корреляция ИБ и бизнес активностей
формирование перечня основных активностей
определение целей, результатов и измерителей
определение необходимых ресурсов для достижения
целей
Шаг 3: ввод в действие стратегии
согласование и утверждение стратегии
каскадирование целей и задач стратегии
22 мая 2014
5
Шаг 1 разработки стратегии ИБ
Сбор информации для стратегического планирования
Определение текущего состояния ИБ
сбор и консолидация данных об имеющихся мерах и средствах защиты
анализ нормативной базы ИБ
оценка соответствия внутренним и внешним требованиям ИБ
определение «социального статуса ИБ» внутри организации
Определение направлений развития ИБ
анализ угроз и рисков ИБ
определение внешних и внутренних тенденции развития ИБ
определение сторон заинтересованных или оказывающих влияние на ИБ
22 мая 2014
6
Создание основы стратегии ИБ
Фактическая ситуация
Отраслевые стандарты
(СТО БР ИББС)
Законодательство
(ПДн, НПС и т.п.)
Лучшие практики
(ISO, Cobit, ITIL и т.п.)
22 мая 2014
7
Создание основы стратегии ИБ
Оценка текущего состояния:
• результаты аудитов на соответствие
стандартам;
• внутренние контроли и проверки;
• самооценки соблюдения требований
законодательства.
«Социальный статус ИБ»:
• информированность об ИБ;
• роль ИБ;
• отношение к ИБ;
• приоритетность ИБ.
Получение внешнего взгляда на ИБ
Определение критичных несоответствий
22 мая 2014
Выделение направлений ИБ, требующих
популяризации
8
Тенденции и практики ИБ
Отбор актуальных для организации направлений и
включение их в базовые элементы обеспечения ИБ
22 мая 2014
9
Заинтересованные стороны
Определение интересов внешних и внутренних
сторон, затрагивающих информационную
безопасность, и их влияния
22 мая 2014
10
Внешние факторы
Определение действий, по
обработке внешних факторов
22 мая 2014
11
Риски и угрозы ИБ
Включить в элементы обеспечения ИБ меры
минимизации рисков и угроз ИБ
22 мая 2014
12
Шаг 2 разработки стратегии ИБ
Корреляция ИБ и бизнес активностей
Формирование перечня основных активностей ИБ
подготовка свода элементов обеспечения ИБ и выбор приоритетных направлений
развития ИБ
анализ направлений развития бизнеса
Определение целей, результатов и измерителей
формирование целей по выбранным направлениям развития
определение метрик для целей
определение способов мониторинга и контроля достижения целей
Определение необходимых ресурсов для достижения целей
анализ использования имеющихся ресурсов
определение дополнительных ресурсов и динамики их изменения
22 мая 2014
13
Свод элементов ИБ
22 мая 2014
Создание полного списка
возможных мер и средств ИБ,
требующих развития
14
Направления развития бизнеса
Определение мер и технологий, поддерживающих
выбранные направления развития бизнеса
22 мая 2014
15
Формирование стратегии ИБ
22 мая 2014
16
Пример корреляции стратегий
Бизнес
Конкурентные условия
ИБ
ИТ
Фактическая защищенность без ущерба
производительности
Увеличение скорости обработки
информации
Бизнес выгоды
Направления развития ИБ
Цели ИБ
Измерители
Фактическая защищенность без ущерба производительности.
Минимизация
воздействия СЗИ на
производительность
на уровне
Пользователя
Усиление защиты
информации на сетевом
уровне (не на уровне
пользователя)
Применение
сетевой
антивирусной
фильтрации
Внедренное антивирусное
решение
Снижение количества
обнаружений вредоносного кода
на рабочих станциях
Поддержка
репутации и
непрерывности
деятельности Банка
Обеспечение
непрерывности защиты
информации
Создание
резервных СЗИ
и аварийных
планов для них
Основные СЗИ имею резерв.
Аварийные планы разработаны и
протестированы
22 мая 2014
17
Обеспечение стратегии ИБ ресурсами
Имеющиеся ресурсы:
учет фактического использования ресурсов
эффективное перераспределение ресурсов
Дополнительные ресурсы
ввод и поддержание новых процессов и технологий
выполнение новых процедур, НО и оптимизация
имеющихся
Динамика изменения потребностей в ресурсах
увеличение территориального покрытия
увеличение количества запросов и пользователей
усиление контроля и увеличение точек контроля
улучшение качества и скорости предоставления сервисов
22 мая 2014
18
Шаг 3 разработки стратегии ИБ
Ввод стратегии ИБ в действие
Согласование и утверждение
стратегии
встречи и тренинги с руководителями
бизнес-подразделений
обсуждение и корректировка направлений
развития и целей ИБ
утверждение стратегии ИБ топменеджментом
доведение стратегии ИБ до всех работников
Каскадирование целей и задач
стратегии
22 мая 2014
19
Стратегия ИБ: заключение
Различные подходы к
стратегическому планированию ИБ
22 мая 2014
20
Модели стратегий ИБ
Существуют различные подходы и модели разработки бизнесориентированных стратегий ИБ
Главное что бы ВАША стратегия соответствовала ВАШЕМУ бизнесу и
ВЫ могли реализовать ее
22 мая 2014
21
Спасибо за внимание!
Увидимся онлайн:
http://lnkd.in/dPhcF5F
Роман Чаплыгин
22
Скачать