Мастер-класс «Как управлять информационной безопасностью?»

29 мая 2014 года в Школе IT-менеджмента прошел открытый Мастер-класс в формате деловой игры «Как управлять информационной безопасностью»

 

               Ведущие:
Алёшин В.Д., Профессор РАНХ и ГС при Президенте РФ 
Баскаков А.В., Начальник группы по ИБ ТЦ “Комус”,

выпускник Школы ИТ-менеджмента РАНХ и ГС
Ёрхов Е.В., Генеральный директор “Ай Экс Ай лаборатория защиты информации”
выпускник Школы ИТ-менеджмента АНХ
Никишин М.В., Заместитель директора по управлению проектами ООО “Нефтегазстройсервис”
выпускник Школы ИТ-менеджмента АНХ


Впервые в Школе IT-менеджмента деловая игра проходила в аудитории, собравшей более 80 участников. Тем не менее, ведущим удалось вовлечь в обсуждение и активное участие всех без исключения. Участники были разбиты на 6 команд, и каждая команда обсуждала, вырабатывала и докладывала всем остальным свои результаты. Таких раундов было проведено три, каждый предварялся вводными выступлениями ведущих мастер-класс, и заканчивался подведением основных результатов и ответами на вопросы.

В заключении мастер-класса, выпускник первой группы программы MBA-CIO Школы IT-менеджмента РАНХиГС, ведущий эксперт в области информационной безопасности (опыт управления ИБ более 20лет) Михаил Никишин дал экспертную оценку результатам, полученных в рамках деловой игры.

Скачать презентацию >>>
Подписаться на рассылку приглашений на открытые мастер-классы >>>


Что хотели донести до аудитории ведущие мастер-класса, отвечая на вопрос «Как управлять информационной безопасностью?»:

Это вопрос интерпретируется каждым руководителем подразделения ИБ в меру своего видения процесса управления ИБ. Интерпретация во многом обусловлена опытом работы и областью знаний, в которой этот руководитель является экспертом.  Опыт взаимодействия с руководителями подразделения ИБ различных компаний показывает фрагментарное понимание процесса управления ИБ. Если он вырос из эксперта в области взаимодействия с регуляторами, то и понимание процесса управления ИБ строится вокруг стандартов, инструкций, регламентов и т.п. В том же случае, если руководитель подразделения ИБ является экспертом в области DLP, IPS/IDS систем, то и процесс управления ИБ концентрируется на этих механизмах.

Рынок управленцев ИБ переживает стадию формирования, так же, как это было несколько лет назад с рынком управленцев в области ИТ. Встал вопрос: “В чем различие между ИТ директором и CIO?” Ответ был сформулирован так. Если первый действует в интересах своей службы, то второй – в стратегических интересах всей компании. Такой ответ во многом связан с уровнем зрелости бизнеса, его переходом от постановки задачи владельцем бизнеса ИТ директору: "Сделай нам, чтобы всё работало", к уровню, когда важен процессный подход, следование стандартам ITIL/ITSM и т.п.


Для желающих детально ознакомится с результатами работы экспертов, ниже, мы разместили аннотации каждой из статей и ссылки на сами статьи, вышедшие в Information Management  в 2013 году (номера:  2 – 5).

Приложение.

Предлагаем Вашему вниманию цикл статей на тему:

“Обеспечение непрерывности бизнеса”

  • Часть 1. Модель управления процессами
    В статье проанализированы проблемы применения стандартов, основанных на цикле PDCA, и описана модель управления процессами, опирающаяся на расширение цикла PDCA – цикл SDCA . Подробнее >>>
  • Часть 2. Функциональная модель “Управлять непрерывностью безопасности бизнеса”
    Во второй статье цикла мы разбирали проблемы стандартов в области непрерывности бизнеса и информационной безопасности (ИБ), а также дали описание функциональной модели процесса “Управлять непрерывностью безопасности бизнеса”.  Подробнее >>>
  • Часть 3. Верификация информационной безопасности бизнеса
    В статье кратко рассмотрены стандарты де-юре в области информационной безопасности и методики тестирования защищенности предприятия. Подробно описана наиболее полно охватывающая модель тестирования – методика OSSTMM – и приведена декомпозиция блока “Выполнить тестирование внешнего проникновения” функциональной модели, описание которой было начато во второй статье цикла. Подробнее >>>
  • Часть 4. Модель зрелости как инструмент управления совершенствованием непрерывности безопасности бизнеса
    В статье кратко рассмотрен ряд моделей зрелости в области информационной безопасности бизнеса и предложена адаптивная модель зрелости. Подробнее >>>

Перечислим компоненты методологии, которые лежат в ее основе:

  • Модель управления процессами, включающую:
  • Модель взаимосвязи циклов PDCA & SDCA
    (модели стратегического и оперативного управлений);
  • Модель ролевого распределения в циклах PDCA & SDCA;
  • Стандарты управления ИБ серии ISO/IEC 27xxx;
  • Стандарты тестирования защищенности OSSTMM и PTES ;
  • Функциональная модель “Управлять непрерывностью безопасности бизнеса”,
  • построенная в соответствии c методологией функционального моделирования IDEF0 ;
  • Методология применения системы тестов OSSTMM;
  • Адаптивная модель зрелости организаций в области непрерывности бизнеса и его информационной безопасности;
  • Методика применения адаптивной модели зрелости.

PDCAlanDoCheckAct или PlanDoCheckAdjust): Планируй — Делай — Проверяй — Воздействуй (Приспосабливай, Приводи в порядок). В русскоязычной литературе этот цикл часто называют циклом Деминга.

SDCA (Standardize – Do – Check – Action): Стандартизируй – Делай – Проверяй – Воздействуй.

OSSTMM (Open Source Security Testing Methodology Manual): Методика разработана ассоциацией ISECOM и предлагает комплексный подход к тестированию защищённости на основе практических методов преодоления систем защиты

PTES (Penetration Testing Execution Standard). В стандарте сообществом экспертов в области ИБ сделана попытка составить всеобъемлющий каталог сценариев атак и методов преодоления систем защиты.

ISO/IEC/IEEE 31320 - 1:2012 "Информационные технологии. Языки моделирования. Часть 1. Синтаксис и семантика для IDEF0.
Методология функционального моделирования IDEF0". С 2001 года в РФ действуют рекомендации по стандартизации
Р 50.1.028-2001 "Информационные технологии поддержки жизненного цикла продукции методология функционального моделирования".