29 мая 2014 года в Школе IT-менеджмента прошел открытый Мастер-класс в формате деловой игры «Как управлять информационной безопасностью»

               Ведущие:
Алёшин В.Д., Профессор РАНХ и ГС при Президенте РФ 
Баскаков А.В., Начальник группы по ИБ ТЦ “Комус”,
выпускник Школы ИТ-менеджмента РАНХ и ГС
Ёрхов Е.В., Генеральный директор “Ай Экс Ай лаборатория защиты информации”
выпускник Школы ИТ-менеджмента АНХ
Никишин М.В., Заместитель директора по управлению проектами ООО “Нефтегазстройсервис”
выпускник Школы ИТ-менеджмента АНХ

Впервые в Школе IT-менеджмента деловая игра проходила в аудитории, собравшей более 80 участников. Тем не менее, ведущим удалось вовлечь в обсуждение и активное участие всех без исключения. Участники были разбиты на 6 команд, и каждая команда обсуждала, вырабатывала и докладывала всем остальным свои результаты. Таких раундов было проведено три, каждый предварялся вводными выступлениями ведущих мастер-класс, и заканчивался подведением основных результатов и ответами на вопросы.

В заключении мастер-класса, выпускник первой группы программы MBA-CIO Школы IT-менеджмента РАНХиГС, ведущий эксперт в области информационной безопасности (опыт управления ИБ более 20лет) Михаил Никишин дал экспертную оценку результатам, полученных в рамках деловой игры.

Скачать презентацию >>>
Подписаться на рассылку приглашений на открытые мастер-классы >>>

Что хотели донести до аудитории ведущие мастер-класса, отвечая на вопрос «Как управлять информационной безопасностью?»:

Это вопрос интерпретируется каждым руководителем подразделения ИБ в меру своего видения процесса управления ИБ. Интерпретация во многом обусловлена опытом работы и областью знаний, в которой этот руководитель является экспертом.  Опыт взаимодействия с руководителями подразделения ИБ различных компаний показывает фрагментарное понимание процесса управления ИБ. Если он вырос из эксперта в области взаимодействия с регуляторами, то и понимание процесса управления ИБ строится вокруг стандартов, инструкций, регламентов и т.п. В том же случае, если руководитель подразделения ИБ является экспертом в области DLP, IPS/IDS систем, то и процесс управления ИБ концентрируется на этих механизмах.

Рынок управленцев ИБ переживает стадию формирования, так же, как это было несколько лет назад с рынком управленцев в области ИТ. Встал вопрос: “В чем различие между ИТ директором и CIO?” Ответ был сформулирован так. Если первый действует в интересах своей службы, то второй – в стратегических интересах всей компании. Такой ответ во многом связан с уровнем зрелости бизнеса, его переходом от постановки задачи владельцем бизнеса ИТ директору: "Сделай нам, чтобы всё работало", к уровню, когда важен процессный подход, следование стандартам ITIL/ITSM и т.п.

Для желающих детально ознакомится с результатами работы экспертов, ниже, мы разместили аннотации каждой из статей и ссылки на сами статьи, вышедшие в Information Management  в 2013 году (номера:  2 – 5).

Приложение.

Предлагаем Вашему вниманию цикл статей на тему:

“Обеспечение непрерывности бизнеса”

• Часть 1. Модель управления процессами
  В статье проанализированы проблемы применения стандартов, основанных на цикле PDCA, и описана модель управления процессами, опирающаяся на расширение цикла PDCA – цикл SDCA . Подробнее >>>
• Часть 2. Функциональная модель “Управлять непрерывностью безопасности бизнеса”
  Во второй статье цикла мы разбирали проблемы стандартов в области непрерывности бизнеса и информационной безопасности (ИБ), а также дали описание функциональной модели процесса “Управлять непрерывностью безопасности бизнеса”.  Подробнее >>>
• Часть 3. Верификация информационной безопасности бизнеса
  В статье кратко рассмотрены стандарты де-юре в области информационной безопасности и методики тестирования защищенности предприятия. Подробно описана наиболее полно охватывающая модель тестирования – методика OSSTMM – и приведена декомпозиция блока “Выполнить тестирование внешнего проникновения” функциональной модели, описание которой было начато во второй статье цикла. Подробнее >>>
• Часть 4. Модель зрелости как инструмент управления совершенствованием непрерывности безопасности бизнеса
  В статье кратко рассмотрен ряд моделей зрелости в области информационной безопасности бизнеса и предложена адаптивная модель зрелости. Подробнее >>>

Перечислим компоненты методологии, которые лежат в ее основе:

• Модель управления процессами, включающую:
• Модель взаимосвязи циклов PDCA & SDCA
  (модели стратегического и оперативного управлений);
• Модель ролевого распределения в циклах PDCA & SDCA;
• Стандарты управления ИБ серии ISO/IEC 27xxx;
• Стандарты тестирования защищенности OSSTMM и PTES ;
• Функциональная модель “Управлять непрерывностью безопасности бизнеса”,
• построенная в соответствии c методологией функционального моделирования IDEF0 ;
• Методология применения системы тестов OSSTMM;
• Адаптивная модель зрелости организаций в области непрерывности бизнеса и его информационной безопасности;
• Методика применения адаптивной модели зрелости.