Создание бизнес ориентированной стратегии информационной безопасности Роман Чаплыгин 22 мая 2014
Стратегия информационной безопасности 2 22 мая 2014 Целью стратегии является отыскание такого пути, который требует наименьшего расхода времени и энергии и дает возможность достичь наибольшего успеха. Брайан Трейси
Потребности в стратегии ИБ Требования ИБ выше уровня риска приемлемого для бизнеса: недостаточная осведомленность ИБ о бизнес целях и потребностях затягивание проектов из-за сложности реализации требований ИБ отказ в большинстве бизнес-инициатив длительная обработка запросов от бизнеса ИБ не участвует в бизнес или ИТ проектах Незнание или непонимание требований ИБ руководство Банка выражает апатию к вопросам ИБ высокие затраты ресурсов и усилий на ИБ-инициативы работники не понимают требований ИБ или не знают как их выполнять работники не используют методы и средства защиты информации в своей работе отсутствие прозрачной взаимосвязи деятельности ИБ и потребностей бизнеса Требования ИБ не выполняются и не контролируются низкий уровень соответствия фактической обстановки требованиям ИБ проекты и работы по ИБ носят разовый или узконаправленный характер отсутствует или неэффективен контроль за соблюдением требований ИБ отсутствуют или недостаточны механизмы и средства реализации требований ИБ 3 22 мая 2014
Ключевые характеристики стратегии ИБ Стратегическое планирование ИБ учитывает: бизнес стратегию и цели риски и угрозы ИБ тенденции развития ИБ и лучшие практики внешние факторы и отраслевые изменения специфику организации - культуру, технологии, процессы, компетенции и т.п. Стратегическое планирование ИБ включает: формирование основы обеспечения ИБ определение направлений развития ИБ приоритизация целей и задач определение необходимых ресурсов определение показателей реализации стратегии Стратегия ИБ позволяет обеспечить: Согласованность действий ИБ и бизнеса эффективное использование ресурсов и усилий повышение защиты информации от работ и мер обеспечения ИБ 4 22 мая 2014
Процесс разработки стратегии ИБ Шаг 1: сбор данных для стратегического планирования определение текущего состояния ИБ определение направлений развития ИБ Шаг 2: корреляция ИБ и бизнес активностей формирование перечня основных активностей определение целей, результатов и измерителей определение необходимых ресурсов для достижения целей Шаг 3: ввод в действие стратегии согласование и утверждение стратегии каскадирование целей и задач стратегии 5 22 мая 2014
Определение текущего состояния ИБ сбор и консолидация данных об имеющихся мерах и средствах защиты анализ нормативной базы ИБ оценка соответствия внутренним и внешним требованиям ИБ определение «социального статуса ИБ» внутри организации Определение направлений развития ИБ анализ угроз и рисков ИБ определение внешних и внутренних тенденции развития ИБ определение сторон заинтересованных или оказывающих влияние на ИБ Шаг 1 разработки стратегии ИБ Сбор информации для стратегического планирования 6 22 мая 2014
Создание основы стратегии ИБ 7 Фактическая ситуация Отраслевые стандарты (СТО БР ИББС) Законодательство (ПДн, НПС и т.п.) Лучшие практики (ISO, Cobit, ITIL и т.п.) Фактическая ситуация Отраслевые стандарты (СТО БР ИББС) Законодательство (ПДн, НПС и т.п.) Лучшие практики (ISO, Cobit, ITIL и т.п.) 22 мая 2014
Создание основы стратегии ИБ 8 Оценка текущего состояния: результаты аудитов на соответствие стандартам; внутренние контроли и проверки; самооценки соблюдения требований законодательства. Определение критичных несоответствий «Социальный статус ИБ»: информированность об ИБ; роль ИБ; отношение к ИБ; приоритетность ИБ. Получение внешнего взгляда на ИБ Выделение направлений ИБ, требующих популяризации Получение внешнего взгляда на ИБ Выделение направлений ИБ, требующих популяризации 22 мая 2014
Тенденции и практики ИБ 9 Отбор актуальных для организации направлений и включение их в базовые элементы обеспечения ИБ 22 мая 2014
Заинтересованные стороны 10 Определение интересов внешних и внутренних сторон, затрагивающих информационную безопасность, и их влияния 22 мая 2014
Внешние факторы 11 Определение действий, по обработке внешних факторов 22 мая 2014
Риски и угрозы ИБ 12 Включить в элементы обеспечения ИБ меры минимизации рисков и угроз ИБ 22 мая 2014
Шаг 2 разработки стратегии ИБ Корреляция ИБ и бизнес активностей Формирование перечня основных активностей ИБ подготовка свода элементов обеспечения ИБ и выбор приоритетных направлений развития ИБ анализ направлений развития бизнеса Определение целей, результатов и измерителей формирование целей по выбранным направлениям развития определение метрик для целей определение способов мониторинга и контроля достижения целей Определение необходимых ресурсов для достижения целей анализ использования имеющихся ресурсов определение дополнительных ресурсов и динамики их изменения мая 2014
Свод элементов ИБ 14 Создание полного списка возможных мер и средств ИБ, требующих развития 22 мая 2014
Направления развития бизнеса 15 Определение мер и технологий, поддерживающих выбранные направления развития бизнеса 22 мая 2014
Формирование стратегии ИБ мая 2014
Пример корреляции стратегий 17 Конкурентные условия Увеличение скорости обработки информации Фактическая защищенность без ущерба производительности Бизнес выгоды Направления развития ИБЦели ИБ Измерители Фактическая защищенность без ущерба производительности. Минимизация воздействия СЗИ на производительность на уровне Пользователя Усиление защиты информации на сетевом уровне (не на уровне пользователя) Применение сетевой антивирусной фильтрации Внедренное антивирусное решение Снижение количества обнаружений вредоносного кода на рабочих станциях Поддержка репутации и непрерывности деятельности Банка Обеспечение непрерывности защиты информации Создание резервных СЗИ и аварийных планов для них Основные СЗИ имею резерв. Аварийные планы разработаны и протестированы Бизнес ИТИБ 22 мая 2014
Обеспечение стратегии ИБ ресурсами Имеющиеся ресурсы: учет фактического использования ресурсов эффективное перераспределение ресурсов Дополнительные ресурсы ввод и поддержание новых процессов и технологий выполнение новых процедур, НО и оптимизация имеющихся Динамика изменения потребностей в ресурсах увеличение территориального покрытия увеличение количества запросов и пользователей усиление контроля и увеличение точек контроля улучшение качества и скорости предоставления сервисов мая 2014
Шаг 3 разработки стратегии ИБ Ввод стратегии ИБ в действие Согласование и утверждение стратегии встречи и тренинги с руководителями бизнес-подразделений обсуждение и корректировка направлений развития и целей ИБ утверждение стратегии ИБ топ- менеджментом доведение стратегии ИБ до всех работников Каскадирование целей и задач стратегии мая 2014
Стратегия ИБ: заключение Различные подходы к стратегическому планированию ИБ мая 2014
Модели стратегий ИБ Существуют различные подходы и модели разработки бизнес- ориентированных стратегий ИБ Главное что бы ВАША стратегия соответствовала ВАШЕМУ бизнесу и ВЫ могли реализовать ее мая 2014
Спасибо за внимание! Роман Чаплыгин Увидимся онлайн: 22