Системная Инженерия для ciso

101 курс 101 курса Системной Инжинирии для CISO

Конференция UISGCON10 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»

Современное Предприятие

© Владимир Гнинюк, 2014

Конференция UISGCON10

Страница 2

Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.

Источники проблем СУИБ

• Онтологические

• Управленческие

• Междисциплинарные

• Сложность



Страница 3

Источники проблем: Что есть ИБ?

Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010)

-----------------------------------------------------------------------------

Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010)



Страница 4

Шаблоны Картины мира



Страница 5

Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002

Business Model for Information Security от ISACA (2010)

Источники проблем: Управление

• где написано, что надо создавать "подразделение ИБ"?

• управление требованиями

• описание систем (целевой, обеспечивающей,

операционного окружения): функциональные, архитектурные, моделирование, и т.п.

• управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем

• управление жизненным циклом



Страница 6

Источники проблем: Междисциплинарные

• SCADA

• СКУД, Видеонаблюдение

• GSM-навигация

• IoT

• Разные носители и формы

• Строительные конструкции

• Кондиционирование

• Энергетика

• Геология и Климат



Страница 7

Источники проблем: Сложность

• Бизнес-системы

• Инфраструктура: своя, аутсорсинг, облака, …

• Границы системы - система в глазах смотрящего

… все это перемножить с выше сказанным



Страница 8

Поиск решения

Что делать?



Страница 9

Поиск решения: Системная Инженерия

междисциплинарный подход и средства для создания успешных систем

Systems Engineering Handbook, version 2a. — INCOSE, 2004

междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров

MIL-STD-499 Military Standard System Engineering

Management. — Department of Defense, 1969.



Страница 10

Поиск решения: Системная Инженерия

Правильная деятельность благодаря системноинженерному мышлению: • Целостность, междисциплинарность и

эмерджентность • Система без стейкхолдера не существует • Система – это всегда холон, входящей в холархию • Жизненный цикл

Главный вопрос: ЗАЧЕМ? Главный принцип:

Сначала думать, а затем делать



Страница 11

СИ vs Project Management

Мотивация:

«Что делать?» vs «Как делать?»

Ориентиры:

«Цели» vs «Ресурсы»

Продолжительность:

«Жизненный Цикл» vs «Стадия»



Страница 12

Стадии жизненного цикла (ISO/IEC 15288)

a) стадия замысла;

b) стадия разработки;

c) стадия производства;

d) стадия применения;

e) стадия поддержки применения;

f) стадия прекращения применения и списания



Страница 13

Практики: V-model процесса СИ



Страница 14

Концепция

Проектирование

Архитектуры

Детальное

проектирование

Реализация

Модульное тестирование и

интеграция

Тестирование и проверка системы

Введение в эксплуатацию и

поддержка

Валидация системы

Верификация системы

Верификация компонент

В р е м я

Практики: Языки моделирования



Страница 15

• ArchiMate

• Essence

• SysML

• Modelica

• AADL

• etc, etc, etc

Практики: ISO/IEC 15288

Процесс приобретения

Процесс поставки

Процессы предприятия

• управления средой

предприятия

• управления инвестициями

• управления процессами ЖЦ

системы

• управления ресурсами

• управления качеством

Процессы проекта

• планирования проекта

• оценки проекта

• контроля проекта

• принятия решений

• управления рисками

• управления конфигурацией

• управления информацией

Технические процессы

• определения требований

стейкхолдеров

• анализа требований

• проектирования архитектуры

• реализации элементов

системы

• комплексирования

• верификации

• передачи

• валидации

• функционирования

• обслуживания

• изъятия и списания



Страница 16

Практики: OMG Essence и СИ



Страница 17

А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014

Основные Роли Системных Инженеров

Инженер по требованиям

Инженер системной архитекторы

Инженер по управлению конфигурацией

Инженер по испытаниям

Инженер по безопасности



Страница 18

Инженерия защитоспособности

Инженерия безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты. Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести.

Donald Firesmith, SEI, Carnegie Mellon University



Страница 19

Проблема: Инженерии безопасности и защиты

• Обычно рассматриваются как вторичные дисциплины специальной инженерии

• Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка)

Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно)




Страница 20

Проблема: Разделение инженерий

Разделение инженерии требований и инженерии безопасности и защиты вызывает: Плохие требования безопасности и защиты, которые часто: • Расплывчаты, непроверяемы, и не истинные требования,

а неосуществимые возможности или цели • Неудовлетворительны для направления архитектуры,

проектирования и реализации • Определены и управляемы отдельно от всех остальных

требований • Игнорируются инженерами по требованиям и

архитекторами • Производятся слишком поздно для архитектуры и

испытаний Donald Firesmith, SEI, Carnegie Mellon University



Страница 21

Пример: Типы систем




Страница 22

Пример: Активы




Страница 23

Пример : Уязвимости




Страница 24

Пример : Анализ Нарушений




Страница 25

В поисках взаимопонимания ИБ и Бизнеса

Вопросы

Владимир Гнинюк e-mail: [email protected] Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44

mailto:[email protected]






http://vgninyuk.blogspot.com/

