SlideShare a Scribd company logo

People-Centric security (intro) rus

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Моя презентация про People-Centric Security с конференции Код ИБ Воронеж

Technology
1 of 14
Download to read offline
People-Centric Security: Теперь все внимание на людей Прозоров Андрей, CISM Руководитель экспертного направления в Solar Security Блог: 80na20.blogspot.com Твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020 2018-04-05
SOLAR SECURITY Информационная безопасность, GDPR 2 CISO 1 CISO 2 Мы регулярно (несколько раз в год) собираем Комитет по ИБ Комитет по ИБ? Все слишком заняты… Я успешно обосновываю бюджеты по ИБ Мне трудно согласовывать бюджет по ИБ, и его постоянно сокращают Я регулярно посещаю продуктовые комитеты по ИТ Иногда я даже не знаю, что внедрены новые ИТ Все сотрудники понимают и соблюдают правила ИБ Ну, вы же понимаете, что нам нельзя запрещать что-то ТОПам… Политики и регламенты по ИБ у нас написаны кратко и понятным языком. Сотрудники знают, где их можно посмотреть и у кого уточнить У нас обычный набор документов по ИБ, соответствует требованиям регуляторов У нас есть Программа обучения и повышения осведомленности Мы давно хотим начать обучать сотрудников, но как-то пока не до этого У нас есть Политика по использованию BYOD Мы не можем запретить и контролировать личные мобильные устройства Сотрудники часто спрашивают совета по ИБ Многие в компании даже не знают кто CISO Чей авторитет (влияние) выше?
SOLAR SECURITY Код Информационной Безопасности 3 Мы выбираем… Блокировать и запрещать нельзя использовать ИТ так, как нужно бизнесу!
SOLAR SECURITY Код Информационной Безопасности 4 "Концепция People-Centric Security зародилась из-за того, что бизнес запретил безопасности запрещать". Антон Чувакин, Gartner
SOLAR SECURITY Код Информационной Безопасности 5 Запрещать и блокировать уже нельзя… А что делать?
SOLAR SECURITY Код Информационной Безопасности 6 Необходимо обучать пользователей работать «безопасно». Причем не просто обучать, а создавать культуру ИБ, поощряющую правильную (безопасную) работу с информацией, ИС и сервисами.
SOLAR SECURITY Код Информационной Безопасности 7 На этом и строится подход People-Centric Security…
SOLAR SECURITY Код Информационной Безопасности 8 Правило PCS №1 Бизнес первичен, а ИБ должна ему помогать. ИБ – доверенный советник, который предлагает как лучше сделать.
SOLAR SECURITY Код Информационной Безопасности 9 Правило PCS №2 Руководство организации поддерживает и своим примером показывает необходимость и ценность ИБ, культура ИБ поощряется и поддерживается всеми сотрудниками.
SOLAR SECURITY Код Информационной Безопасности 10 Правило PCS №3 Сотрудники лучше знают, что нужно бизнесу. Но важно, чтобы они понимали и принимали на себя персональную ответственность за возможные последствия для бизнеса.
SOLAR SECURITY Код Информационной Безопасности 11 Правило PCS №4 Поведение сотрудников контролируется, все ошибки анализируются, и по ним дается обратная связь с целью их дальнейшего недопущения.
SOLAR SECURITY Код Информационной Безопасности 12 Правило PCS №5 Погрешности в работе персонала первоначально рассматриваются в качестве неумышленных ошибок, предполагающих объяснения и обучение. Но если потребуется наказание, то оно будет обоснованным и неминуемым.
SOLAR SECURITY Информационная безопасность, GDPR 13 Data-Centric Security People-Centric Security Фокус внимания Информация Люди Главная идея ИБ Защита информации Создание позитивной культуры ИБ Разрешенное поведение Запрещено все, что не разрешено Разрешено все, но правильно (безопасно), вот так… Кто прав? ИБ лучше знает, как надо Бизнес лучше знает, как надо Принятие ответственности Сотрудники должны... Сотрудникам объясняют, но решение за ними Документы Требования и регламенты Рекомендации, памятки, учебные материалы Восприятие сотрудниками ИБ — карающий контролер ИБ — доверенный советник Режим работы DLP DLP в режиме блокировки DLP в режиме мониторинга/отправка по требованию
Спасибо! 2018-04-05 Прозоров Андрей, CISM Руководитель экспертного направления в Solar Security Блог: 80na20.blogspot.com Твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020

Recommended

Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Principles for-info-sec-practitioners-poster [ru]
Principles for-info-sec-practitioners-poster [ru]Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибпр От Догматичной к Прагматичной иб
пр От Догматичной к Прагматичной ибAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Модель зрелости Dlp
пр Модель зрелости Dlpпр Модель зрелости Dlp
пр Модель зрелости DlpAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Expolink
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг SmallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
пр 6-7.docx
пр 6-7.docxпр 6-7.docx
пр 6-7.docxssuser6d63bc1
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 

More Related Content

What's hot

Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Dmitry Savchenko
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииBulat Shamsutdinov
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороныAleksey Lukatskiy
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Expolink
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (19)

Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Лицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информацииЛицензирование деятельности в области защиты информации
Лицензирование деятельности в области защиты информации
 
Концепция активной обороны
Концепция активной обороныКонцепция активной обороны
Концепция активной обороны
 
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
Газинформсервис. Дмитрий Успехов. "Упрощение работы технических служб в услов...
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИ
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
 

Similar to People-Centric security (intro) rus

Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноАлексей Волков
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраjet_information_security
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...imbasoft ru
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБRISClubSPb
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиAleksey Lukatskiy
 
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018Oleg Glebov
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Учебный центр "Эшелон"
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.SelectedPresentations
 
It менеджер
It менеджерIt менеджер
It менеджерvaxden
 
Полезный ИТ-руководитель
Полезный ИТ-руководительПолезный ИТ-руководитель
Полезный ИТ-руководительCleverics
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данныхUISGCON
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...Cisco Russia
 

Similar to People-Centric security (intro) rus (20)

Политика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезноПолитика информационной безопасности: как сделать правильно и полезно
Политика информационной безопасности: как сделать правильно и полезно
 
пр 6-7.docx
пр 6-7.docxпр 6-7.docx
пр 6-7.docx
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
Информационная безопасность банковских безналичных платежей. Часть 3 — Формир...
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБ
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
 
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
Infowatch, держи марку!
Infowatch, держи марку!Infowatch, держи марку!
Infowatch, держи марку!
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 
Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.Безопасность в сервисной модели: за и против.
Безопасность в сервисной модели: за и против.
 
It менеджер
It менеджерIt менеджер
It менеджер
 
Полезный ИТ-руководитель
Полезный ИТ-руководительПолезный ИТ-руководитель
Полезный ИТ-руководитель
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

People-Centric security (intro) rus

  • 1. People-Centric Security: Теперь все внимание на людей Прозоров Андрей, CISM Руководитель экспертного направления в Solar Security Блог: 80na20.blogspot.com Твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020 2018-04-05
  • 2. SOLAR SECURITY Информационная безопасность, GDPR 2 CISO 1 CISO 2 Мы регулярно (несколько раз в год) собираем Комитет по ИБ Комитет по ИБ? Все слишком заняты… Я успешно обосновываю бюджеты по ИБ Мне трудно согласовывать бюджет по ИБ, и его постоянно сокращают Я регулярно посещаю продуктовые комитеты по ИТ Иногда я даже не знаю, что внедрены новые ИТ Все сотрудники понимают и соблюдают правила ИБ Ну, вы же понимаете, что нам нельзя запрещать что-то ТОПам… Политики и регламенты по ИБ у нас написаны кратко и понятным языком. Сотрудники знают, где их можно посмотреть и у кого уточнить У нас обычный набор документов по ИБ, соответствует требованиям регуляторов У нас есть Программа обучения и повышения осведомленности Мы давно хотим начать обучать сотрудников, но как-то пока не до этого У нас есть Политика по использованию BYOD Мы не можем запретить и контролировать личные мобильные устройства Сотрудники часто спрашивают совета по ИБ Многие в компании даже не знают кто CISO Чей авторитет (влияние) выше?
  • 3. SOLAR SECURITY Код Информационной Безопасности 3 Мы выбираем… Блокировать и запрещать нельзя использовать ИТ так, как нужно бизнесу!
  • 4. SOLAR SECURITY Код Информационной Безопасности 4 "Концепция People-Centric Security зародилась из-за того, что бизнес запретил безопасности запрещать". Антон Чувакин, Gartner
  • 5. SOLAR SECURITY Код Информационной Безопасности 5 Запрещать и блокировать уже нельзя… А что делать?
  • 6. SOLAR SECURITY Код Информационной Безопасности 6 Необходимо обучать пользователей работать «безопасно». Причем не просто обучать, а создавать культуру ИБ, поощряющую правильную (безопасную) работу с информацией, ИС и сервисами.
  • 7. SOLAR SECURITY Код Информационной Безопасности 7 На этом и строится подход People-Centric Security…
  • 8. SOLAR SECURITY Код Информационной Безопасности 8 Правило PCS №1 Бизнес первичен, а ИБ должна ему помогать. ИБ – доверенный советник, который предлагает как лучше сделать.
  • 9. SOLAR SECURITY Код Информационной Безопасности 9 Правило PCS №2 Руководство организации поддерживает и своим примером показывает необходимость и ценность ИБ, культура ИБ поощряется и поддерживается всеми сотрудниками.
  • 10. SOLAR SECURITY Код Информационной Безопасности 10 Правило PCS №3 Сотрудники лучше знают, что нужно бизнесу. Но важно, чтобы они понимали и принимали на себя персональную ответственность за возможные последствия для бизнеса.
  • 11. SOLAR SECURITY Код Информационной Безопасности 11 Правило PCS №4 Поведение сотрудников контролируется, все ошибки анализируются, и по ним дается обратная связь с целью их дальнейшего недопущения.
  • 12. SOLAR SECURITY Код Информационной Безопасности 12 Правило PCS №5 Погрешности в работе персонала первоначально рассматриваются в качестве неумышленных ошибок, предполагающих объяснения и обучение. Но если потребуется наказание, то оно будет обоснованным и неминуемым.
  • 13. SOLAR SECURITY Информационная безопасность, GDPR 13 Data-Centric Security People-Centric Security Фокус внимания Информация Люди Главная идея ИБ Защита информации Создание позитивной культуры ИБ Разрешенное поведение Запрещено все, что не разрешено Разрешено все, но правильно (безопасно), вот так… Кто прав? ИБ лучше знает, как надо Бизнес лучше знает, как надо Принятие ответственности Сотрудники должны... Сотрудникам объясняют, но решение за ними Документы Требования и регламенты Рекомендации, памятки, учебные материалы Восприятие сотрудниками ИБ — карающий контролер ИБ — доверенный советник Режим работы DLP DLP в режиме блокировки DLP в режиме мониторинга/отправка по требованию
  • 14. Спасибо! 2018-04-05 Прозоров Андрей, CISM Руководитель экспертного направления в Solar Security Блог: 80na20.blogspot.com Твиттер: twitter.com/3dwave Группа в ВК: vk.com/isms8020