Менеджмент проектов в области корпоративной информационной безопасности как общий язык с топ-менеджментом

эффективности своей деятельности, снижения накладных расходов и сохранения репутации компании.

Эффективность службы информационной безопасности – это, прежде всего, экономическая эффективность инвестиций в проекты информационной безопасности.

Перспективы информационной безопасности в текущих условиях

По результатам исследования Ernst&Young, проведенного на рынках России и стран СНГ, проблемы информационной безопасности считаются актуальными в период экономического спада. На безопасности не экономят.

в информационную безопасность, основанные на оценке угроз:
1. Оценка количества
нарушений.
2. Оценка ущерба
от нарушений (до 80% -
внутренние инциденты).

СУБД и традиционные средства защиты – имеют хорошее отношение цена/качество.
Организационные меры (аудит, анализ риска, политика, план BCP, процедуры, регламенты) – имеют наилучшее отношение цена/качество.

4. Наиболее дорогие и наиболее эффективные средства защиты – IDS, SSO, PKI, DLP/ILP, КСУИБ. При их внедрении рекомендуется выполнять анализ рисков.

Эффективность службы информационной безопасности

и стратегии ИБ – стратегии бизнеса, целей ИТ и ИБ – целям бизнеса.
Анализ рисков. Выбор средств управления рисками.
Разработка программы (портфеля проектов) ИБ на основании анализа рисков.
Управление программой (проектами ИБ).
Управление инцидентами и реагирование на них.

риском:
deterrent, сдерживающие (снижают вероятность угроз или восприимчивость к ним, по другой формулировке – мотивирование пользователя путем предупреждений),
preventive, предотвращающие (снижают уязвимости, делают невозможными атаки, снижают воздействие: управление доступом, шифрование, аутентификация),
corrective (recovery), корректирующие (снижающие воздействие: резервирование и восстановление),
compensatory, компенсирующие (компенс. возрастающий риск: добавление доп. средств в дополнение к существующим слабым),
detective, обнаруживающие (обнар. атаки или сканирования и включающие превентивные или корректирующие средства: журналы аудита, IDS, контрольные суммы).

объективность и повторяемость результатов при одинаковых исходных данных, вне зависимости от эксперта, который применяет методику.

Поддержка высшего руководства организации, учреждение руководящего комитета по информационной безопасности (CEO, CIO, COO, CFO, CxO), высокая осведомленность пользователей о требованиях ИБ, чёткое распределение ответственности.

Своевременное реагирование на новые риски и внесение изменений в проекты снижения рисков. Применение лучших практик и стандартов при организации ИБ.
Квалификация персонала службы ИБ не только в архитектурных вопросах, но и в управленческих, экономических, психологических, юридических.

конкурентного преимущества на рынке труда и создания добавленной ценности специалиста по информационной безопасности является официальное подтверждение его опыта и знаний путем сертификации.
Это особенно актуально в текущих экономических условиях, когда рынок заставляет предприятия работать более эффективно, следовательно, тратить средства на наиболее эффективных специалистов, а значит, видеть, насколько оправданы инвестиции в информационную безопасность.

и востребованных во всем мире.

Особенность курса в том, что он предназначен не только для ИТ-специалистов, но и для экономистов, финансистов, риск-менеджеров и топ-менеджеров.
Курс устанавливает взаимосвязь между ИБ и менеджментом: для специалистов по ИБ позволяет перейти на качественно новый уровень управления ИБ, правильно обосновать бюджет, оптимально распределить ресурсы в соответствии с рисками организации, управлять проектами, а для менеджеров — повысить прозрачность инвестиций и управляемость ИБ без глубокого проникновения в архитектурные особенности ИТ.

мире ИТ как авторитетный источник знаний и лучших практик, один из основных авторов стандартов COBIT и ValIT, концепции IT Governance, методик аудита и управления ИТ, массы обучающих, исследовательских и аналитических материалов.
Активность ISACA непрерывна и разнообразна. Ассоциация издает журнал, проводит конференции, в том числе в режиме онлайн.
В 70 странах находится 175 официальных филиалов. В 160 странах 75 тыс. членов организации. В Украине в настоящее время формируется филиал. Членство свободное.

информационной безопасности (CISM) и управления ИТ (CGEIT). Данные программы имеют аккредитацию ANSI.
На базе филиала (chapter-in-formation) и компании Ernst&Young функционирует сертификационный центр CISA/CISM. Для сертификации необходима сдача экзамена CISM, проводимого в форме теста на бумаге, подписание ряда обязательств, а также документально подтвержденный опыт в информационной безопасности не менее 5 лет.
Подготовка к сертификации CISM: http://cism.com.ua.