Как заставить работать неработающие стандарты?...
DESCRIPTION
Совместный доклад Баскакова А. В. (АРСИБ), Алёшина В. Д., Ёрхова Е. В. на тему "Как заставить работать неработающие стандарты? Методология управления безопасностью бизнеса" на Ciso Forum 2014TRANSCRIPT
Как заставить работать
неработающие стандарты?
Методология управления безопасностью
бизнеса
Баскаков А. В. (АРСИБ), Алёшин В. Д., Ёрхов Е. В.
РАНХ и ГС при Президенте РФ
• Как выглядит процесс управления ИБ?
• Роли участников этого процесса?
• Как применять модель процесса к различному типу, размеру, специфическим особенностям организации?
• Почему сертификация по стандарту не дает гарантии управления безопасностью?
• Какие есть способы верификации процесс управления ИБ?
2
Проблемы применения стандарта ISO /
IEC 27001:2005
• В стандарте используется вербальное описание.
• Уровень изложения материала в стандарте достаточно общий. Вопросы практической реализации остаются “за кадром”. Это вызывает серьезные трудности для практического применения требований стандартов.
• Используется только уровень стратегического управления (PDCA).
• Не прописан механизм обратной связи в соответствии с требованиями стандарта и анализа предпринятых корректирующих действий, не указан механизм превентивных действий и т.д.
• Нет четкого распределения ролей участников процессов при реализации требований стандарта.
Управлять непрерывностью безопасности бизнеса (A0)
5
Регулировать обеспечение непрерывности безопасности бизнеса (A4)
Внутренний и внешний взгляды на систему обеспечения непрерывности бизнеса
Категории тестов в методике OSSTMM
Современные модели зрелости
8
Open Information
Security Management
Maturity Model (O-
ISM3)
Enterprise Information Management
Maturity Model (EIM
MM)
NISTIR-7358 методология
PRISMA
Community Cyber
Security Maturity
Model (CCSMM)
разработана независимым консорциумом The Open Group
разработана Gartner, Inc
разработана National Institute of Standards and Technology
разработана The Center for Infrastructure Assurance and Security The University of Texas
Адаптивная модель зрелости
9
Часть 1. Обеспеченность условиями для внедрения процесса • Стратегия бизнеса
• Выделение ресурсов на ИБ
• Учет инцидентов
• Распределение ролей и
ответственности за ИБ • Учет стандартов по ИБ
Часть 2. Степень реализации процессов безопасности • Стратегия и политика
безопасности • Угрозы, цели защиты,
карта рисков • Управление контрмерами
• Регулирование
обеспечения непрерывности безопасности бизнеса
Алёшин Владимир Дмитриевич РАНХ и ГС при Президенте РФ, профессор
Баскаков Александр Владимирович Начальник группы по ИБООО “ТЦ Комус”
Ведущий аудитор по стандарту ISO/IEC 27001:2005 Выпускник Школы ИТ-менеджмента РАНХ и ГС
Ёрхов Евгений Владимирович Генеральный директор ООО “IXI лаборатория защиты информации”
Выпускник Школы ИТ-менеджмента РАНХ и ГС [email protected]
10
Спасибо за внимание!