четверг, 24 октября 2013 г.

Security Dream Team для банк

     Последний YaC (отдельное спасибо Антону Карпову за напоминание, на мероприятие не смог прийти но посмотрел он-лайн, кстати, infosecurity не сподобилась сделать он-лайн трансляцию;) + необходимость изучения банковской предметной области сподвигла на создание некоего "эталона" команды безопасников в банке. Я глубоко убежден, что только специализация (и последующая стандартизация) позволяет достичь эффективной и экономичной работы организации информационной безопасности, и только логичная и понятная стратегия, структура и функции информационной безопасности будут поддержаны бизнесом. Высокоуровневый проект ниже, критики - welcome:)


Security Dream Team structure
Безопасность бизнес-функций
  • здания (комплексная система безопасности, защита помещений от утечек по техническим каналам)
  • инфраструктура (управление инцидентами, доступами и уязвимостями)
  • продукты\бизнес-приложения для корпоративных функций (код, авторизация, изменения)
Безопасность бизнес-направлений
  • безопасность каналов сбыта (пластик, ДБО, банкоматы)
  • безопасность критической инфраструктуры (АБС, процессинг и т.п.)
  • безопасность бренда\лицензии (ISO 27001, privacy, НПС, банковская тайна, внутреннее мошенничество)
Управление программой безопасности
  • стратегия и threat intelligence (стратегия, операционная модель и тренды ИБ)
  • организационные изменения ИБ (проекты ИБ, третьи стороны, осведомленность пользователей)
  • управление эффективностью ИБ (BPR, сорсинг, метрики)
P.S. А презентации нашей темы на YaС 2013 доступны до сих пор

Комментариев нет:

Отправить комментарий