57:27
Тонкости внедрения процессов ИБ - как заставить систему функционировать и развиваться
-
Video
-
Audio
-
Files
-
Table of contents
-
Video
-
Audio
-
Files
- Description
- Transcript
- Discussion
About the talk
Применение изменений в существующих деловых процессах компании многогранно и зависит от разных факторов, многие из которых были не раз озвучены. Вопрос же, как такие "лучшие практики" выглядят приземлившись в реальную среду достоин небольшого рассказа, в котором будут объединены истории из жизни, практические кейсы и выводы по следам событий. И конечно немного про создание Security Operation Center в рамках отдельно взятой организации.
00:18 О теме выступления
01:50 Базовые стандарты информационной безопасности. О Камазе и поезде: простая аналогия
04:40 О CMMI - модель оценки зрелости процессов
06:06 Этапы жизни процесса по CMMI
08:19 О факторах окружения: спонсоры прогресса, система ценностей компании
10:47 Несколько слов о специфике компании «Системный оператор единой энергосистемы»
12:46 Игра со слушателями из зала на тему личностного фактора
16:49 Как учитывать личностный фактор при работе с сотрудниками?
18:53 Медленные, мутные и безответственные: о восприятии специалистов по информационной безопасности
20:12 «Управлять ожиданием нужно умело»: об ожидании как об эффективном инструменте
22:33 «Какой бы ты ни был циник, люди все равно заметят, если ты переборщил»: о понятии «социальная инженерия»
24:42 Полезные инструменты. Из опыта спикера
26:13 Необходимо учитывать профиль компании при выборе решения по информационной безопасности
28:27 Какую пользу можно извлечь из оценки профиля?
30:25 Три примера позиционного сравнения
33:21 Какие инструменты анализа и оценки необходимо использовать?
35:00 Сравнительная таблица фактора соответствия ожиданиям
36:10 О полезных инструментах
39:02 «Истории успеха» из жизни спикера
41:19 Практический обзор процесса внедрения системы SOC_SO-UPS в компании «Системный оператор единой энергосистемы»
49:13 Об Agile
51:20 Пример бюллетеня информационной безопасности
52:35 Пример методики реагирования на вирусную активность
55:02 Дельный совет от спикера: «никто кроме вас не сделает ваш процесс информационной безопасности домашним»
56:00 Ответ на вопрос от слушателя из зала
About speaker
Окончил факультет информатики и вычислительной техники Московского государственного университета приборостроения и информатики, имеет диплом МГТУ им. Баумана о переподготовке по направлению «Информационная безопасность автоматизированных систем». Член Ассоциации руководителей служб информационной безопасности (АРСИБ), имеет более 10 лет опыта в ИТ и ИБ. За это время он осуществлял руководство проектами по внедрению комплексных централизованных систем обеспечения ИБ.
View the profileЯ работаю в компании системный оператор единой энергосистемы и у нас реализована вряд ли зоны ряд процессы информационной безопасности и я буду рассказывать в своём выступлении Я бы не хотел назвать это мастер-классом а о том как это происходит о том как стандарты Как эталоны как модель придуманные в том числе как и нашим так и западными регуляторами разбиваются о скалы действующих процессов информационной безопасности нашей компании также я постараюсь показать
на какие факторы нужно ориентироваться чтобы их проектируемым или внедряемые процесс шел по нужным рельсам Ну в общем там именно про это будет рассказ Аня Зовут или фамилия у меня полей я работник компании системный оператор единой энергосистемы в ходе своего с вами общения они немножко расскажу поэтому не буду на этом Кроме этого я так периодически немножко занят тем что редактирую рубрику управления в журнале formations Security и вот в этом кстати не раз успели сказать про песочница тоже там интересно
косьбы Если кому-то интересно но и в ходе выступления что-то расскажу и так в принципе не назвал это выступления мастер-классом я не мастер вы не класс поэтому Давайте свободно общаться Давайте говорить о том что нас интересует хотел бы поговорить о чём-то о том же О чём говорят все мои коллеги в течение этого дня это не повод уходить и думаю что здесь бы всё тоже самое Да тоже самое но с другой стороны абсолютно на завтра в личку просто ряд стандартов их огромное количество и надо понимать что такое стандарт это модель