Безопасность - Russian CIO Summit

CIO и CISO
от безопасности корпоративной сети к
управлению рисками
Russian CIO Summit 2012
8-9 октября 2012 года, Подмосковье
CIO и CISO
Целостность
CISO
Информационная
безопасность
Доступность
Конфиденциа
льность
CIO
ИТ Безопасность
Информационная
Безопасность
CIO – Chief Information Officer (ИТ Директор).
CISO – Chief Information Security Officer
(Директор по IT\информационной безопасности)
Эволюция CIO и CISO
Роль в компании
Бизнес
Бизнес
СБ
СБ
ИТ
ИТ
СБ
ИТ
ИТ
VP, Директор,
ИТ, бизнес-риски
Руководитель службы
ИТ \ Информационной безопасности
Начальник отдела
ИТ \ безопасности \ Защиты информации
Специалист, эксперт,
Администратор, доступ \ СКЗИ
Инженер,
служба поддержки
Размер и зрелость
компании
Инженер
CIO (ИТ)
• Поддержка работоспособности сети,
ПК, оборудования;
• Поддержка вэб-сайта;
• Тех. поддержка пользователей;
CISO (Безопасность)
• Установка антивирусных средств;
• Резервное копирование некоторых
данных;
Выпускники Тех. Вузов, удаленные
администраторы.
Размер
компании
Зрелость
компании
• Малые компании до нескольких десятков человек;
• Отсутствие регулирования, процедур, интуитивные
практики;
Специалист, эксперт
CIO (ИТ) – Сопровождение
• Поддержка работоспособности сети,
ПК, оборудования, файловых
хранилищ;
• Поддержка простых бизнесприложений, вэб-сайтов \ портала;
• Тех. поддержка пользователей;
MCP, CCNA и пр. ИТ сертификаты;
Размер
CISO (Безопасность) - Сопровождение
• Установка антивирусных средств;
• Настройка Межсетевых экранов;
• Резервное копирование данных;
• Настройка антиспам;
Обучение и сертификаты по продуктам
ИТ безопасности;
компании
• Небольшие до сотни человек , несколько ИТ
специалистов;
Зрелость
компании
• слабое регулирование, отсутствие процедур,
интуитивные практики;
Начальник отдела
CIO (ИТ) – Сервисная поддержка
• Поддержка работоспособности
ИТ- инфраструктуры: Сеть, ПК,
серверные решения, ОС, СУБД и пр.
• Поддержка бизнес-приложений, вэбсайтов \ портала;
• Тех. поддержка пользователей;
• Реализация бизнес-запросов на
автоматизацию;
MCP, CCNA и пр. ИТ сертификаты;
Размер
CISO (Безопасность) - Контроль
Безопасность ИТ-инфраструктуры;
• Антивирусная защита;
• Межсетевые экраны;
• Системы обнаружения вторжений;
• Инфраструктура открытых ключей;
• Резервное копирование;
• Политики и процедуры ИБ;
• Контроль доступа и изменений;
CISSP, обучение и сертификаты
по продуктам ИТ безопасности;
компании
• Небольшие и средние компании до нескольких сотен
человек , есть отдельное ИТ и ИБ функции;
Зрелость
компании
• регулирование, процедуры и интуитивные практики,
собственная ИТ инфраструктура и приложения;
Руководитель службы
CIO (ИТ) - сервис
• Оказание ИТ сервисов;
Сервисы:
• Сопровождение ИТ инфраструктуры и
Бизнес-приложений;
• Внедрение новых технологий и
автоматизация;
• Восстановление после сбоев (DRP)
ITIL, ITSM, MCP, CCNA и пр. ИТ
сертификаты;
Размер
CISO (Безопасность) - Контроль
• Контроль ИТ и Бизнес процессов;
Сервисы:
• Безопасность ИТ-инфраструктуры;
• Безопасность бизнес-приложений;
• Безопасность информации на уровне
бизнес-процессов и ИТ-процессов;
• Соответствие требованиям регуляторов;
• Непрерывность бизнеса (BCP);
• Расследование инцидентов ИБ;
CISM, CISSP, обучение и сертификаты
по продуктам ИТ безопасности;
компании
• Средние и большие компании 1000+ , есть отдельные ИТ
и ИБ подразделения \ службы;
Зрелость
компании
• Строгое регулирование, ITSM, есть ИТ-процессы и ИТсервисы, собственная ИТ инфраструктура и приложения;
VP, Директор
CIO (ИТ) – стратегия, изменения
• Изменение бизнеса, новые технологии;
Сервисы:
• Сопровождение ИТ инфраструктуры и
Бизнес-приложений (ITSM);
• Разработка и внедрение новых
технологий и автоматизация;
• Восстановление после сбоев (DRP)
MBA, PMP, ITIL, ITSM, MCP, CCNA и пр. ИТ
сертификаты;
Размер
компании
Зрелость
компании
CISO (Безопасность) - риски
• Управление рисками (ИТ/ИБ и др.);
Сервисы:
• Безопасность ИТ-инфраструктуры и
бизнес-приложений;
• Управление инцидентами ИБ;
• Управление уязвимостями;
• Управление доступом;
• Обучение и осведомленность;
• Непрерывность бизнеса (BCP);
И пр.
MBA, CISM, CISSP, обучение и сертификаты
по продуктам ИТ безопасности;
• Корпорации и крупные компании, Департамент ИТ\ИБ;
• Строгое регулирование, ИТ-сервисы, часть на
аутсорсинге, внедряются новые технологии и услуги,
которые влияют на бизнес стратегию.
Как найти точки соприкосновения?
Управление рисками
ИТ и ИБ риски часть системы управления бизнесом;
Новые угрозы
Мобильные устройств, web, инсайдеры, ботнет, DDoS, 9\11 и пр.
Улучшение уровня обслуживания и Эффективность затрат
новые технологии безопасности: IDM, OTP, DLP и пр;
Защита интеллектуальной собственности и другой
конфиденциальной информации;
Общие, понятные всем правила
политики и стандарты ITSM, COBiT, ISO27001, PCI DSS и пр.
Спасибо за внимание!
Ваши вопросы
Виктор Евдокимов, CISA, CISSP, CFE
Эл.почта: victor.evdokimov@gmail.com