1:01:19
Как построить ИБ в большой компании
-
Video
-
Audio
-
Files
-
Table of contents
-
Video
-
Audio
-
Files
- Description
- Transcript
- Discussion
About the talk
Я поделюсь практическим взглядом на самые популярные вопросы, встающие перед руководителем ИБ: где структурно должна быть Служба ИБ, какие основные направления она должна охватывать, как оценивать риски, как построить модель нарушителя, какие контроли ИБ следует внедрять и какой подход при этом исповедовать.
01:05 Три основные стадии зрелости ИБ
03:29 На что стоит обратить внимание при внедрении ИБ
05:34 Как построить команду для внедрения ИБ
07:54 Как выглядит “пирамида ценностей” в любой компании
11:27 Как завоевать уважение IT-отдела, внедряя ИБ
13:14 Должна ли информационная безопасность быть независимой от IT-отдела
15:23 О модели нарушителя
23:20 Нужно ли анализировать риски безопасности
25:29 Как правильно выбрать решение для ИБ
28:16 Типичные проблемы при внедрении вендерских решений
30:52 Особенности сканирования уязвимостей
35:13 О внедрении CM-системы
40:04 Можно ли писать изначально безопасный код
43:57 Нужно ли регулярно проводить пентесты
45:48 Что не нужно делать при повышении уровня осведомленности сотрудников
50:32 Вопрос: Должен ли безопасник иметь опыт в IT и разработке?
52:54 Вопрос: Как должны взаимодействовать различные службы безопасности?
55:11 Вопрос: Что делать если сотрудники IT-отдела ничего не понимают в ИБ?
57:30 Вопрос: Расскажите о службах безопасности в “Яндексе”
About speaker
реальную жизнь про реальные практические проблемы про то как вообще всё то что мы с вами читаем там в учебниках платьях тех контроля безопасности и сегодня хочу поделиться с вами этим опытом он безусловно будет субъективно потому что это всё какие-то нашу практические примеры практически сегодня буду рассказывать как мы там с одиннадцатого года вот в Яндексе идём к тому что в безопасность у нас было всё выше и выше и нужно что-то что сегодня я буду рассказывать то что мы сегодня будем говорить Это конечно Абсолютно не руководство к действию и многие вещи в вашей организации
могут быть не принимает Ну по-другому и быть не может потому что все компании какой-то степени + - уникальный цель сегодня моя поделиться опытом и если для кого-то из вас какие-то вещи будут Бресте что-нибудь полезное Я буду очень рад соответственно прежде чем мы начнём говорить о подходах последний безопасности важно понимать что крупная организация она за свой жизненный цикл проходит в целом точки зрения информационной безопасности на три основные три основные стадии зрелости начали Когда вы только начинаете заниматься
безопасностью это у вас нет ничего У вас есть какие-то безопасники у вас есть какой-то штат какая-то служба безопасности но она занимается тушении пожаров потому что процессов нет одни студенты начиная от вирусного заражения еда взломали сотрудник внес коммерческую тайну Блин а как там привлечь объясняется что нас юрист имеет никакого процесса кстати вот это очень такой момент уже важный говорили в начале напали нарки а про то как важно безопасником юристом взаимодействовать который мне кажется многие действительно недооценивают потому