Мастер-класс «Как управлять информационной безопасностью?»

Как управлять информационной  безопасностью

29 мая 2014 года в Школе IT-менеджмента прошел открытый Мастер-класс в формате деловой игры «Как управлять информационной безопасностью»



               Ведущие:
Алёшин В.Д., Профессор РАНХ и ГС при Президенте РФ 
Баскаков А.В., Начальник группы по ИБ ТЦ “Комус”,
выпускник Школы ИТ-менеджмента РАНХ и ГС
Ёрхов Е.В., Генеральный директор “Ай Экс Ай лаборатория защиты
информации”
выпускник Школы ИТ-менеджмента АНХ
Никишин М.В., Заместитель директора по управлению проектами ООО “Нефтегазстройсервис”
выпускник Школы ИТ-менеджмента АНХ

Впервые в Школе IT-менеджмента деловая игра проходила в аудитории, собравшей более 80 участников. Тем не менее, ведущим удалось вовлечь в обсуждение и активное участие всех без исключения. Участники были разбиты на 6 команд, и каждая команда обсуждала, вырабатывала и докладывала всем остальным свои результаты. Таких раундов было проведено три, каждый предварялся вводными выступлениями ведущих мастер-класс, и заканчивался подведением основных результатов и ответами на вопросы.

В заключении мастер-класса, выпускник первой группы программы MBA-CIO Школы IT-менеджмента РАНХиГС, ведущий эксперт в области информационной безопасности (опыт управления ИБ более 20лет) Михаил Никишин дал экспертную оценку результатам, полученных в рамках деловой игры.

Скачать презентацию >>>
Подписаться на рассылку приглашений на открытые мастер-классы >>>

Что хотели донести до аудитории ведущие мастер-класса, отвечая на вопрос «Как управлять информационной безопасностью?»:

Это вопрос интерпретируется каждым руководителем подразделения ИБ в меру своего видения процесса управления ИБ. Интерпретация во многом обусловлена опытом работы и областью знаний, в которой этот руководитель является экспертом.  Опыт взаимодействия с руководителями подразделения ИБ различных компаний показывает фрагментарное понимание процесса управления ИБ. Если он вырос из эксперта в области взаимодействия с регуляторами, то и понимание процесса управления ИБ строится вокруг стандартов, инструкций, регламентов и т.п. В том же случае, если руководитель подразделения ИБ является экспертом в области DLP, IPS/IDS систем, то и процесс управления ИБ концентрируется на этих механизмах.

Рынок управленцев ИБ переживает стадию формирования, так же, как это было несколько лет назад с рынком управленцев в области ИТ. Встал вопрос: “В чем различие между ИТ директором и CIO?” Ответ был сформулирован так. Если первый действует в интересах своей службы, то второй – в стратегических интересах всей компании. Такой ответ во многом связан с уровнем зрелости бизнеса, его переходом от постановки задачи владельцем бизнеса ИТ директору: "Сделай нам, чтобы всё работало", к уровню, когда важен процессный подход, следование стандартам ITIL/ITSM и т.п.

МК Как управлять информационной безопасностью Владимир Алешин МК Как управлять информационной безопасностью Деловая игра Как управлять информационной безопасностью МК Как управлять информационной безопасностью Обсуждение Михаил Никишин МК Как управлять информационной безопасностью

Для желающих детально ознакомится с результатами работы экспертов, ниже, мы разместили аннотации каждой из статей и ссылки на сами статьи, вышедшие в Information Management  в 2013 году (номера:  2 – 5).

Приложение.

Предлагаем Вашему вниманию цикл статей на тему:

“Обеспечение непрерывности бизнеса”

  • Часть 1. Модель управления процессами
    В статье проанализированы проблемы применения стандартов, основанных на цикле PDCA, и описана модель управления процессами, опирающаяся на расширение цикла PDCA – цикл SDCA . Подробнее >>>
  • Часть 2. Функциональная модель “Управлять непрерывностью безопасности бизнеса”
    Во второй статье цикла мы разбирали проблемы стандартов в области непрерывности бизнеса и информационной безопасности (ИБ), а также дали описание функциональной модели процесса “Управлять непрерывностью безопасности бизнеса”.  Подробнее >>>
  • Часть 3. Верификация информационной безопасности бизнеса
    В статье кратко рассмотрены стандарты де-юре в области информационной безопасности и методики тестирования защищенности предприятия. Подробно описана наиболее полно охватывающая модель тестирования – методика OSSTMM – и приведена декомпозиция блока “Выполнить тестирование внешнего проникновения” функциональной модели, описание которой было начато во второй статье цикла. Подробнее >>>
  • Часть 4. Модель зрелости как инструмент управления совершенствованием непрерывности безопасности бизнеса
    В статье кратко рассмотрен ряд моделей зрелости в области информационной безопасности бизнеса и предложена адаптивная модель зрелости. Подробнее >>>

Перечислим компоненты методологии, которые лежат в ее основе:

  • Модель управления процессами, включающую:
  • Модель взаимосвязи циклов PDCA & SDCA
    (модели стратегического и оперативного управлений);
  • Модель ролевого распределения в циклах PDCA & SDCA;
  • Стандарты управления ИБ серии ISO/IEC 27xxx;
  • Стандарты тестирования защищенности OSSTMM и PTES ;
  • Функциональная модель “Управлять непрерывностью безопасности бизнеса”,
  • построенная в соответствии c методологией функционального моделирования IDEF0 ;
  • Методология применения системы тестов OSSTMM;
  • Адаптивная модель зрелости организаций в области непрерывности бизнеса и его информационной безопасности;
  • Методика применения адаптивной модели зрелости.

PDCAlanDoCheckAct или PlanDoCheckAdjust): Планируй — Делай — Проверяй — Воздействуй (Приспосабливай, Приводи в порядок). В русскоязычной литературе этот цикл часто называют циклом Деминга.

SDCA (Standardize – Do – Check – Action): Стандартизируй – Делай – Проверяй – Воздействуй.

OSSTMM (Open Source Security Testing Methodology Manual): Методика разработана ассоциацией ISECOM и предлагает комплексный подход к тестированию защищённости на основе практических методов преодоления систем защиты

PTES (Penetration Testing Execution Standard). В стандарте сообществом экспертов в области ИБ сделана попытка составить всеобъемлющий каталог сценариев атак и методов преодоления систем защиты.

ISO/IEC/IEEE 31320 - 1:2012 "Информационные технологии. Языки моделирования. Часть 1. Синтаксис и семантика для IDEF0.
Методология функционального моделирования IDEF0". С 2001 года в РФ действуют рекомендации по стандартизации
Р 50.1.028-2001 "Информационные технологии поддержки жизненного цикла продукции методология функционального моделирования".

site map xml | Карта сайта | RSS канал Новости Школы IT-менеджмента 474.73