Submit Search
Upload
Модель зрелости процесса (мониторинг и оценка ИБ)
•
0 likes
•
9,502 views
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Follow
Модель зрелости процесса (мониторинг и оценка ИБ)
Read less
Read more
Technology
Report
Share
Report
Share
1 of 6
Download now
Download to read offline
Recommended
Книга про измерения (ITSM)
Книга про измерения (ITSM)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
LETA IT-company
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
Евгений Родыгин
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
About TM for CISO (rus)
About TM for CISO (rus)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Recommended
Книга про измерения (ITSM)
Книга про измерения (ITSM)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
Создание СУИБ в организации на примере 5 реализованных проектов LETA 2010-201...
LETA IT-company
пр все про Cobit5 для dlp expert 2013-12
пр все про Cobit5 для dlp expert 2013-12
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Добровольная система сертификации отрасли ИБ. 2012
Добровольная система сертификации отрасли ИБ. 2012
Евгений Родыгин
Про аудиты ИБ для студентов фин.академии
Про аудиты ИБ для студентов фин.академии
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр прозоров для Info sec2012 cobit5 итог
пр прозоров для Info sec2012 cobit5 итог
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
About TM for CISO (rus)
About TM for CISO (rus)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр Принципы измерения ИБ
пр Принципы измерения ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
Ivan Piskunov
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр стандарты иб. Itsm
пр стандарты иб. Itsm
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
Мониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
RISClubSPb
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
DialogueScience
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Expolink
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
More Related Content
What's hot
пр Принципы измерения ИБ
пр Принципы измерения ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Alexey Evmenkov
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
Ivan Piskunov
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр стандарты иб. Itsm
пр стандарты иб. Itsm
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
Мониторинг своими руками
Мониторинг своими руками
Sergey Soldatov
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
a_a_a
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
OWASP Russia
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
RISClubSPb
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
DialogueScience
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
What's hot
(20)
пр Принципы измерения ИБ
пр Принципы измерения ИБ
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
пр стандарты и «лучшие практики» в иб (прозоров)
пр стандарты и «лучшие практики» в иб (прозоров)
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
пр стандарты иб. Itsm
пр стандарты иб. Itsm
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Мониторинг своими руками
Мониторинг своими руками
СУИБ - проблемы внедрения v4
СУИБ - проблемы внедрения v4
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
пр серия стандартов Iso 22301
пр серия стандартов Iso 22301
пр После внедрения Dlp (прозоров)
пр После внедрения Dlp (прозоров)
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
Расследование инцидентов в ОС Windows - Владимир Безмалый
Расследование инцидентов в ОС Windows - Владимир Безмалый
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
ВЕБИНАР: УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ А ДО Я
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
пр зачем измерять информационную безопасность (прозоров)
пр зачем измерять информационную безопасность (прозоров)
Viewers also liked
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Expolink
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
Expolink
FortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасности
Sergey Malchikov
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Expolink
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
Expolink
moodle
moodle
Константин Бугайчук
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Aleksey Lukatskiy
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдера
Aleksey Lukatskiy
Риски использования облачных технологий
Риски использования облачных технологий
abondarenko
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
Aleksey Lukatskiy
Artem ITEA-2015
Artem ITEA-2015
Виктор Артеменко
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?
Aleksey Lukatskiy
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
Aleksey Lukatskiy
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Aleksey Lukatskiy
Viewers also liked
(17)
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
Доктор Веб. Максим Кузнецов. "Почему необходимо обеспечивать защиту почтового...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
IT-Task. Дмитрий Ильин. "SIEM как головной мозг системы обеспечения информаци...
FortiGate – устройство комплексной сетевой безопасности
FortiGate – устройство комплексной сетевой безопасности
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
Fortinet. Юрий Захаров. "Проблемы защиты корпоративного периметра"
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
SearchInform. Сергей Ананич. "Нестандартные методы применения DLP-систем в би...
moodle
moodle
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Защита облаков в условиях комбинирования частных и публичных облачных инфраст...
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдера
Риски использования облачных технологий
Риски использования облачных технологий
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
Artem ITEA-2015
Artem ITEA-2015
Почему в России нельзя обеспечить ИБ облаков?
Почему в России нельзя обеспечить ИБ облаков?
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
Similar to Модель зрелости процесса (мониторинг и оценка ИБ)
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Alexey Evmenkov
Бизнес процессы. методы контроля
Бизнес процессы. методы контроля
Тетервак Дмитрий
Руководство по Мониторингу и Оценке деятельности
Руководство по Мониторингу и Оценке деятельности
Kmpa Kazakhstan
лекция 5
лекция 5
cezium
лекция 5
лекция 5
cezium
Successfull project metrics
Successfull project metrics
Anna Lavrova
процессы смк
процессы смк
trenders
Технология моделирования бизнес процессов
Технология моделирования бизнес процессов
Olya Kollen, PhD
2012 03 22_бизнес-процессы
2012 03 22_бизнес-процессы
Reshetnikov Alexander
Комплексная оценка ИТ: практика контраудита
Комплексная оценка ИТ: практика контраудита
Cleverics
Диагностика системы управления компанией
Диагностика системы управления компанией
Bestlog
Внутренний аудит и COSO
Внутренний аудит и COSO
Aziz Fataliyev, Internal Audit Practitioner
руководство для внутр аудитора.Ppt (1)
руководство для внутр аудитора.Ppt (1)
frolovame13
этапы обучения персонала Батырова
этапы обучения персонала Батырова
Dina Batyrova
Organizatsia analiza khozyaystvennoy_deyatelnosti
Organizatsia analiza khozyaystvennoy_deyatelnosti
SykpynTheBest2
Строим процессы управления собственными руками. Советы начинающим
Строим процессы управления собственными руками. Советы начинающим
Cleverics
04 Dorofeev
04 Dorofeev
Training center "Echelon"
Podgotovka k auditu
Podgotovka k auditu
Alexander Dorofeev
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Darja Varlamova
3. Система менеджмента
3. Система менеджмента
RnD_SM
Similar to Модель зрелости процесса (мониторинг и оценка ИБ)
(20)
Практика внутреннего аудита СМИБ
Практика внутреннего аудита СМИБ
Бизнес процессы. методы контроля
Бизнес процессы. методы контроля
Руководство по Мониторингу и Оценке деятельности
Руководство по Мониторингу и Оценке деятельности
лекция 5
лекция 5
лекция 5
лекция 5
Successfull project metrics
Successfull project metrics
процессы смк
процессы смк
Технология моделирования бизнес процессов
Технология моделирования бизнес процессов
2012 03 22_бизнес-процессы
2012 03 22_бизнес-процессы
Комплексная оценка ИТ: практика контраудита
Комплексная оценка ИТ: практика контраудита
Диагностика системы управления компанией
Диагностика системы управления компанией
Внутренний аудит и COSO
Внутренний аудит и COSO
руководство для внутр аудитора.Ppt (1)
руководство для внутр аудитора.Ppt (1)
этапы обучения персонала Батырова
этапы обучения персонала Батырова
Organizatsia analiza khozyaystvennoy_deyatelnosti
Organizatsia analiza khozyaystvennoy_deyatelnosti
Строим процессы управления собственными руками. Советы начинающим
Строим процессы управления собственными руками. Советы начинающим
04 Dorofeev
04 Dorofeev
Podgotovka k auditu
Podgotovka k auditu
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
Мастер-класс "Бизнес-процессы в организации. Процессный подход к управлению"
3. Система менеджмента
3. Система менеджмента
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
12 Best Privacy Frameworks
12 Best Privacy Frameworks
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO 27001:2022 Introduction
ISO 27001:2022 Introduction
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Supply management 1.1.pdf
Supply management 1.1.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
GDPR RACI.pdf
GDPR RACI.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
(20)
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
12 Best Privacy Frameworks
12 Best Privacy Frameworks
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
ISO 27001:2022 Introduction
ISO 27001:2022 Introduction
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
Supply management 1.1.pdf
Supply management 1.1.pdf
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
GDPR RACI.pdf
GDPR RACI.pdf
Модель зрелости процесса (мониторинг и оценка ИБ)
1.
© Solar Security info@solarsecurity.ru +7
(499) 755-0770 МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕСС «МОНИТОРИНГ И ОЦЕНКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» 22.08.2016 V.1.0 «Вы не можете управлять тем, что не можете контролировать. Вы не можете контролировать то, что не можете измерить. Вы не может измерять то, что не можете определить». Прозоров Андрей, CISM, руководитель экспертного направления в компании Solar Security. Мониторинг и оценка информационной безопасности (далее – ИБ) являются важным процессом, необходимым для управления ИБ организации. Данный процесс включает в себя определение индикаторов результативности и эффективности ИБ, своевременную подготовку отчетов, а также готовность принимать решения по совершенствованию системы ИБ по результатам их анализа. Цель процесса: обеспечение прозрачности работы подразделения ИБ и контроля достижения им необходимых результатов и целей. Процесс сосредоточен на мониторинге и подготовке отчетов по метрикам и показателям процессов и проектов ИБ, а также на выявлении и реализации действий по повышению результативности и эффективности ИБ. Это достигается с помощью: • составления и преобразования отчетов о результативности и эффективности процессов и проектов ИБ в управленческую отчетность; • анализа результативности и эффективности в соответствии с поставленными целями и приоритетами организации, а также инициирования корректирующих действий (совершенствование ИБ). Представленная модель зрелости может быть использована для выстраивания системного видения и понимания процесса мониторинга и оценки ИБ в целом, оценки его текущего уровня и определения дальнейших шагов по его совершенствованию. Стоит отметить, что не все организации должны стремиться к достижению наивысшего уровня зрелости. Переход с уровня на уровень требует дополнительных ресурсов и не всегда может быть целесообразен. Исполнитель 01 Общая информация
2.
© Solar Security info@solarsecurity.ru +7
(499) 755-0770 02 За основу методики взят подход, используемый для оценки зрелости процессов в рамках методологии COBIT4.1 (ISACA), и в частности, процессов «ME 1. Мониторинг и оценка эффективности ИТ» и «МЕ 2. Мониторинг и оценка системы внутреннего контроля». В рамках модели используются следующие уровни зрелости процесса: 0 Несуществующий (Non-existent). Процесс отсутствует, организация даже не осознает наличие проблем, которые надо решать. 1 Начальный / Повторяющийся эпизодически и бессистемно (Initial / Ad hoc). Стандартизованные процессы отсутствуют, однако существуют подходы, применяемые в отдельных случаях. 2 Повторяющийся, но интуитивный (Repeatable but intuitive). Процессы повторяются по образцу, разные сотрудники, выполняющие одну и ту же задачу, используют сходные процедуры. 3 Определенный (Defined). Процессы и требования документально оформлены и доведены до сведения заинтересованных лиц. Существуют формальные требования следовать описанному процессу, однако маловероятно, что отклонения будут обнаружены. Сами процедуры представляют собой формализованный вариант существующей практики. 4 Управляемый и измеряемый (Managed and measurable). Ведется мониторинг процессов в измеряемых показателях. Процессы постоянно совершенствуются и соответствуют общепринятой практике. 5 Оптимизированный (Optimised). Лучшие практики внедрены и автоматизированы. Процессы оптимизированы до уровня лучших практик, они базируются на результатах непрерывного совершенствования и сравнения с другими организациями. Модель зрелости процесса представлена далее. P.S. Дополнительно в Приложении А представлена выписка (и неофициальный перевод) положений стандарта ISO/IEC 27001:2013 «Information technology -- Security techniques -- Information security management systems – Requirements», посвященные измерениям ИБ и анализу ИБ со стороны руководства.
3.
© Solar Security info@solarsecurity.ru +7
(499) 755-0770 03 0 Несуществующий (Non-existent). • В организации отсутствует процесс мониторинга и оценки ИБ. • Руководству не предоставляется отчетность о деятельности подразделения ИБ. • Организация не осознает необходимость в процессе мониторинга и оценки ИБ, этот вопрос даже не обсуждается. • Руководители и сотрудники проявляют общую неосведомленность в вопросах измерения результативности и эффективности ИБ. • Затраты на управление и обеспечение ИБ в явном виде не определены. 1 Начальный / Повторяющийся эпизодически и бессистемно (Initial / Ad hoc). • Цели ИБ и измеримые результаты деятельности подразделения ИБ не определены. • Организация осознает необходимость в мониторинге и оценке ИБ, однако степень этого осознания зависит от конкретных сотрудников и не поддерживается (или слабо поддерживается) руководством. • Мониторинг и оценка ИБ производятся от случая к случаю применительно к нуждам отдельных ИБ- проектов или процессов. • Мониторинг внедряется в основном как реакция на инцидент, который привел к потерям или создал проблему для организации (например, заражение ИС вредоносным кодом, утечки конфиденциальной информации и пр.). • Отчетность руководству обычно предоставляется по запросу, а не на регулярной основе. • Организация в большой степени зависит от знаний отдельных лиц, вследствие чего велика вероятность ошибок. • Бухгалтерская служба отслеживает основные финансовые показатели, относящиеся к подразделению ИБ. 2 Повторяющийся, но интуитивный (Repeatable but intuitive). • Определены основные метрики и показатели, подлежащие мониторингу, однако они не выровнены с целями ИБ и бизнеса в целом. • Мониторинг и оценка ИБ производятся регулярно, однако результаты используются исключительно подразделением ИБ и не передаются руководству организации. • Интерпретация результатов мониторинга основана на личном опыте ответственных сотрудников, вследствие чего возможны ошибки. • Выбраны и применяются отдельные, ограниченные по своим возможностям, инструментальные средства для сбора информации (например, формы Excel). • Процедуры и методики не документированы (или лишь частично), отчетность не формализована. МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕССА «МОНИТОРИНГ И ОЦЕНКА ИБ»
4.
© Solar Security info@solarsecurity.ru +7
(499) 755-0770 04 3 Определенный (Defined). • Определены и документированы цели ИБ и измеримые результаты деятельности подразделения ИБ. • Определен перечень заинтересованных лиц (внутренних и внешних) и их требования (и пожелания) к отчетам со стороны подразделения ИБ. • Определены и документированы цели измерения и мониторинга ИБ. • Документированы и утверждены руководством процессы мониторинга и оценки ИБ (включая требования по подготовке необходимых отчетов), они доведены до ответственных сотрудников. • Определены методики оценки результативности и эффективности ИБ, документирован перечень метрик и показателей ИБ. Установлены показатели для определения вклада подразделения ИБ в общую работу организации с использованием финансовых и операционных критериев (управленческая отчетность). • Создана формализованная база знаний по метрикам и показателям ИБ за прошедшие периоды. • Оценка все еще выполняется на уровне отдельных процессов и проектов ИБ. • Определены инструментальные средства проведения мониторинга ИБ (сбор и агрегация метрик и показателей). 4 Управляемый и измеряемый (Managed and measurable). • Существует единая система метрик и показателей для всех ИБ-проектов и процессов. Определены целевые показатели и допустимые отклонения для всех процессов ИБ. • Показатели работы подразделения ИБ согласованы с общекорпоративными целями. • Формализована система управленческой отчетности подразделения ИБ. • Установлены стандарты и нормы для отчетности по результатам мониторинга и оценки ИБ, их подготовка автоматизирована. • Автоматизированные инструментальные средства интегрированы и используются в масштабах всей организации. 5 Оптимизированный (Optimised). • Все процессы мониторинга и оценки оптимизированы и поддерживают цели всей организации. • Показатели результативности и эффективности ИБ взаимосвязаны с системой стратегических оценок, например, с системой сбалансированных показателей. • Происходит непрерывное совершенствование системы мониторинга и оценки ИБ с учетом лучших мировых и отраслевых практик. В этот процесс вовлечены сотрудники и руководство организации. • Мониторинг процессов и их пересмотр согласуется с планами совершенствования бизнес-процессов в масштабах всей организации. • Формализован сравнительный анализ показателей организации с показателями отрасли и основных конкурентов на основе чётких критериев.
5.
9. Оценка результативности 9.1.
Мониторинг, измерение, анализ и оценка Организация должна оценивать состояние информационной безопасности и результативность системы управления информационной безопасности. Организация должна определить: a) что необходимо отслеживать и измерять, в том числе процессы информационной безопасности и элементы управления; b) методы мониторинга, измерения, анализа и оценки в зависимости от обстоятельств, в целях обеспечения достоверных результатов; ПРИМЕЧАНИЕ. Выбранные методы должны производить сопоставимые и воспроизводимые результаты, которые будут достоверными. a) когда будет осуществляться мониторинг и измерения; b) кто должен осуществлять мониторинг и измерения; c) когда результаты мониторинга и измерений должны быть проанализированы и оценены; d) кто должен анализировать и оценивать эти результаты. Организация должна сохранять соответствующую документированную информацию в качестве свидетельства (подтверждения) результатов мониторинга и измерений. 9.2. Внутренний аудит Организация должна проводить внутренние аудиты через запланированные промежутки времени для предоставления информации о состоянии системы управления информационной безопасности: a) на предмет соответствия 1) собственным требованиям организации для своей системы управления информационной безопасности; 2) требованиям настоящего международного стандарта; b) с целью оценки результативности внедрения и поддержки. Организация должна: c) планировать, разработать, внедрить и поддерживать программу(ы) аудита, включая методы, ответственность, требования к планированию и отчетности. Программа(ы) аудита должна учитывать важность процессов и результаты предыдущих аудитов; d) определить критерии аудита и область применения для каждого аудита; e) выбирать аудиторов и проводить аудиты, обеспечивая объективность и беспристрастность процесса аудита; f) обеспечить, чтобы результаты аудитов направлялись руководству соответствующего уровня; g) сохранять документированную информацию в качестве свидетельства о программе(ах) аудита и результатах аудита. © Solar Security info@solarsecurity.ru +7 (499) 755-0770 05 ПРИЛОЖЕНИЕ А. ВЫПИСКА ИЗ ISO 27001-2013 (НЕОФИЦИАЛЬНЫЙ ПЕРЕВОД)
6.
© Solar Security info@solarsecurity.ru +7
(499) 755-0770 06 9.3. Анализ со стороны руководства Высшее руководство должно анализировать систему управления информационной безопасности организации через запланированные интервалы времени для обеспечения ее постоянной пригодности, адекватности и результативности. Анализ со стороны руководства должен включать: a) статус действий по результатам предыдущих анализов со стороны руководства; b) изменения внешних и внутренних аспектов, которые имеют отношение к системе управления информационной безопасности; c) обратную связь о состоянии информационной безопасности, включая: 1) несоответствия и корректирующие действия; 2) результаты мониторинга и измерений; 3) результаты аудита; 4) результат достижения целей информационной безопасности; d) обратную связь со стороны заинтересованных сторон; e) результаты оценки рисков и статус выполнения плана обработки рисков; f) возможности для постоянного улучшения. Выводы, завершающие анализ со стороны руководства, должны включать решения, связанные с реализацией возможностей постоянного улучшения, и любые необходимые изменения в системе управления информационной безопасности. Организация должна сохранять документированную информацию в качестве свидетельства (подтверждения) результатов анализа со стороны руководства.
Download now