Последний YaC (отдельное спасибо Антону Карпову за напоминание, на мероприятие не смог прийти но посмотрел он-лайн, кстати, infosecurity не сподобилась сделать он-лайн трансляцию;) + необходимость изучения банковской предметной области сподвигла на создание некоего "эталона" команды безопасников в банке. Я глубоко убежден, что только специализация (и последующая стандартизация) позволяет достичь эффективной и экономичной работы организации информационной безопасности, и только логичная и понятная стратегия, структура и функции информационной безопасности будут поддержаны бизнесом. Высокоуровневый проект ниже, критики - welcome:)
Security Dream Team structure
Безопасность бизнес-функций
Security Dream Team structure
Безопасность бизнес-функций
- здания (комплексная система безопасности, защита помещений от утечек по техническим каналам)
- инфраструктура (управление инцидентами, доступами и уязвимостями)
- продукты\бизнес-приложения для корпоративных функций (код, авторизация, изменения)
Безопасность бизнес-направлений
- безопасность каналов сбыта (пластик, ДБО, банкоматы)
- безопасность критической инфраструктуры (АБС, процессинг и т.п.)
- безопасность бренда\лицензии (ISO 27001, privacy, НПС, банковская тайна, внутреннее мошенничество)
Управление программой безопасности
- стратегия и threat intelligence (стратегия, операционная модель и тренды ИБ)
- организационные изменения ИБ (проекты ИБ, третьи стороны, осведомленность пользователей)
- управление эффективностью ИБ (BPR, сорсинг, метрики)
P.S. А презентации нашей темы на YaС 2013 доступны до сих пор
Комментариев нет:
Отправить комментарий