Краткий конспект мастер-класса с закрытого выступления Ильи Борисова
на интенсиве для CISO Код ИБ Профи
Илья Борисов Менеджер по ИБ регионального кластера СНГ в ThyssenKrupp
10 лет опыта работы в области обеспечения информационной безопасности крупного международного промышленного концерна. Основные компетенции лежат в области риск-менеджмента, выстраивания процессов ИБ, коммуникаций и повышения осведомлённости. Спикер профильных конференций, автор и преподаватель курсов по информационной безопасности
Информационная безопасность:
.png?access_token=9a267043-528b-4a19-91b1-8befd5f35dd4)
Люди
.png?access_token=3f84749b-6e06-4373-b750-d62a455f2c04)
Процессы
.png?access_token=108cd57a-a168-4154-ba81-eb3df385d8d0)
Технологии
Это связано с плюсами модели OPEX: её гибкостью (платишь только за то, что используешь), встроенной безопасностью (получаем по подписке) и тем, что это не CAPEX (чёткий и прогнозируемый бюджет).
Нужно также понимать, что OPEN-sourse - не панацея и не бесплатны
Free-freemium решения отлично помогают решить краткосрочные проблемы
Cкрипты Powersheel/Python - must have. Помогают решить кучу задач, особенно по формированию отчетности, ведению реестров - тот же функционал, что у коммерческих утилит, при чём достаточно удобно
Built-in - встроенные средства обеспечения безопасности незачем игнорировать
Импортозамещение тоже имеет место быть, в России есть отличные и конкурентоспособные решения по ИБ.
Ну и, конечно, Exel – крайне удобный инструмент, если знать как им пользоваться.
Самое главное, что нужно здесь сказать: если у вас есть два варианта – инвестировать в технологии и инвестировать в людей, то нужно инвестировать в людей.
Важно помнить о:
● Том, что от 50 до 95 процентов инцидентов в ИБ связаны с человеческим фактором
● Ограничениях технологий защиты
● Экономической эффективность
● Требованиях стандартов и НПА
Почему важны процессы?
Потому что если делать с плохим проектом и без проекта, то может получиться решения, которое потом очень дорого и очень сложно будет привести в соответствие с теми задачами, которые планировались.
Опять же, практика нам показывает, что переделывать обычно всегда сложнее и дороже, чем сразу сделать правильно.
Кому нужен риск-менеджмент?
Существуют два противоположных мнения – что риск-менеджмент является обязательным атрибутом ИБ и что он не нужен совсем и придуман консультантами только для того, чтобы что-то продать.
Если говорить о менеджере, специалисте по ИБ, директоре, руководителю или даже инженере, то, как правило, он отлично понимает какие существуют риски на его участке работы, связанные ИБ, угрозами, уязвимостями, обеспечением отказоустойчивости и тд. А если не знает – вряд ли риск-менеджмент ему уже чем-то поможет.
Поэтому, как правило, риск-менеджмент необходим тем людям, которые не очень в курсе происходящий событий, но которым нужно принимать решения (CEO, CRO, CHRO, CFO, CIO, COO, CTO, CCO).
Основные стандарты, которые я вам крайне рекомендую:
● PCI-DSS Стандарт безопасности данных индустрии платёжных карт
● ISO 27001 Стандарт для системы управления информационной безопасностью
● CIS-CSC 20 ключевых областей для повышения уровня кибербезопасности организации
● NIST-CSF Набор стандартов, руководств и лучших практик для комплексного управления
Кому нужен аудит?
В отличие от риск-менеджмента – аудит нужен всем, в том числе и вам самим.
Кому нужен пентест?
Пентест нужен в определенных случаях и нужно его использовать только тогда, когда есть чёткое понимание почему вам нужен именно он.
Важные итоговые тезисы:
● Процессы и люди важнее продуктов – уходите от продуктовой модели
● Использовать Встроенные средства ИБ – читайте документацию, спрашивайте операторов
● Оценка рисков и расчёт ТСО
● Пентест строго в определенных сценариях
● Использовать стандарты и фреймворки!
Если эта тема Вам интересна, есть возможность ознакомиться с полной версией выступления здесь:
Посмотреть мастер-класс целиком
СУИБ Эффективность в условиях ограниченных ресурсов
Выступление Ильи Борисова Код ИБ Профи