29 мая 2014 года в Школе IT-менеджмента прошел открытый мастер-класс в формате деловой игры «Как управлять информационной безопасностью»

Ведущие:
Алёшин В.Д., профессор РАНХиГС при Президенте РФ; 
Баскаков А.В., начальник группы по ИБ ТЦ “Комус”, выпускник Школы ИТ-менеджмента РАНХиГС;
Ёрхов Е.В., генеральный директор “Ай Экс Ай лаборатория защиты информации”, выпускник Школы ИТ-менеджмента АНХ;
Никишин М.В., заместитель директора по управлению проектами ООО “Нефтегазстройсервис”, выпускник Школы ИТ-менеджмента АНХ.

Впервые в Школе IT-менеджмента деловая игра проходила в аудитории, собравшей более 80 участников. Тем не менее, ведущим удалось вовлечь в обсуждение и активное участие всех без исключения. Участники были разбиты на 6 команд, и каждая команда обсуждала, вырабатывала и докладывала всем остальным свои результаты. Таких раундов было проведено три, каждый предварялся вводными выступлениями ведущих мастер-класс, и заканчивался подведением основных результатов и ответами на вопросы.

В заключении мастер-класса, выпускник первой группы программы MBA-CIO Школы IT-менеджмента РАНХиГС, ведущий эксперт в области информационной безопасности (опыт управления ИБ более 20лет) Михаил Никишин дал экспертную оценку результатам, полученных в рамках деловой игры.

Скачать презентацию >>>
Подписаться на рассылку приглашений на открытые мастер-классы >>>

Что хотели донести до аудитории ведущие мастер-класса, отвечая на вопрос «Как управлять информационной безопасностью?»:

Это вопрос интерпретируется каждым руководителем подразделения ИБ в меру своего видения процесса управления ИБ. Интерпретация во многом обусловлена опытом работы и областью знаний, в которой этот руководитель является экспертом.  Опыт взаимодействия с руководителями подразделения ИБ различных компаний показывает фрагментарное понимание процесса управления ИБ. Если он вырос из эксперта в области взаимодействия с регуляторами, то и понимание процесса управления ИБ строится вокруг стандартов, инструкций, регламентов и т.п. В том же случае, если руководитель подразделения ИБ является экспертом в области DLP, IPS/IDS систем, то и процесс управления ИБ концентрируется на этих механизмах.

Рынок управленцев ИБ переживает стадию формирования, так же, как это было несколько лет назад с рынком управленцев в области ИТ. Встал вопрос: “В чем различие между ИТ директором и CIO?” Ответ был сформулирован так. Если первый действует в интересах своей службы, то второй – в стратегических интересах всей компании. Такой ответ во многом связан с уровнем зрелости бизнеса, его переходом от постановки задачи владельцем бизнеса ИТ директору: "Сделай нам, чтобы всё работало", к уровню, когда важен процессный подход, следование стандартам ITIL/ITSM и т.п.

Для желающих детально ознакомится с результатами работы экспертов, ниже, мы разместили аннотации каждой из статей и ссылки на сами статьи, вышедшие в Information Management  в 2013 году (номера:  2 – 5).

Приложение.

Предлагаем Вашему вниманию цикл статей на тему:

“Обеспечение непрерывности бизнеса”

• Часть 1. Модель управления процессами
  В статье проанализированы проблемы применения стандартов, основанных на цикле PDCA, и описана модель управления процессами, опирающаяся на расширение цикла PDCA – цикл SDCA . Подробнее >>>
• Часть 2. Функциональная модель “Управлять непрерывностью безопасности бизнеса”
  Во второй статье цикла мы разбирали проблемы стандартов в области непрерывности бизнеса и информационной безопасности (ИБ), а также дали описание функциональной модели процесса “Управлять непрерывностью безопасности бизнеса”.  Подробнее >>>
• Часть 3. Верификация информационной безопасности бизнеса
  В статье кратко рассмотрены стандарты де-юре в области информационной безопасности и методики тестирования защищенности предприятия. Подробно описана наиболее полно охватывающая модель тестирования – методика OSSTMM – и приведена декомпозиция блока “Выполнить тестирование внешнего проникновения” функциональной модели, описание которой было начато во второй статье цикла. Подробнее >>>
• Часть 4. Модель зрелости как инструмент управления совершенствованием непрерывности безопасности бизнеса
  В статье кратко рассмотрен ряд моделей зрелости в области информационной безопасности бизнеса и предложена адаптивная модель зрелости. Подробнее >>>

Перечислим компоненты методологии, которые лежат в ее основе:

• Модель управления процессами, включающую:
• Модель взаимосвязи циклов PDCA & SDCA
  (модели стратегического и оперативного управлений);
• Модель ролевого распределения в циклах PDCA & SDCA;
• Стандарты управления ИБ серии ISO/IEC 27xxx;
• Стандарты тестирования защищенности OSSTMM и PTES ;
• Функциональная модель “Управлять непрерывностью безопасности бизнеса”,
• построенная в соответствии c методологией функционального моделирования IDEF0 ;
• Методология применения системы тестов OSSTMM;
• Адаптивная модель зрелости организаций в области непрерывности бизнеса и его информационной безопасности;
• Методика применения адаптивной модели зрелости.

PDCA (Рlan – Do – Check – Act или Plan – Do – Check – Adjust): Планируй — Делай — Проверяй — Воздействуй (Приспосабливай, Приводи в порядок). В русскоязычной литературе этот цикл часто называют циклом Деминга.

SDCA (Standardize – Do – Check – Action): Стандартизируй – Делай – Проверяй – Воздействуй.

OSSTMM (Open Source Security Testing Methodology Manual): Методика разработана ассоциацией ISECOM и предлагает комплексный подход к тестированию защищённости на основе практических методов преодоления систем защиты

PTES (Penetration Testing Execution Standard). В стандарте сообществом экспертов в области ИБ сделана попытка составить всеобъемлющий каталог сценариев атак и методов преодоления систем защиты.

ISO/IEC/IEEE 31320 - 1:2012 "Информационные технологии. Языки моделирования. Часть 1. Синтаксис и семантика для IDEF0.
Методология функционального моделирования IDEF0". С 2001 года в РФ действуют рекомендации по стандартизации
Р 50.1.028-2001 "Информационные технологии поддержки жизненного цикла продукции методология функционального моделирования".