Системная Инженерия для ciso
TRANSCRIPT
![Page 1: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/1.jpg)
101 курс 101 курса Системной Инжинирии для CISO
Конференция UISGCON10 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
![Page 2: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/2.jpg)
Современное Предприятие
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 2
Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.
![Page 3: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/3.jpg)
Источники проблем СУИБ
• Онтологические
• Управленческие
• Междисциплинарные
• Сложность
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 3
![Page 4: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/4.jpg)
Источники проблем: Что есть ИБ?
Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010)
-----------------------------------------------------------------------------
Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010)
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 4
![Page 5: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/5.jpg)
Шаблоны Картины мира
© Владимир Гнинюк, 2012
Конференция UISGCON8
Страница 5
Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002
Business Model for Information Security от ISACA (2010)
![Page 6: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/6.jpg)
Источники проблем: Управление
• где написано, что надо создавать "подразделение ИБ"?
• управление требованиями
• описание систем (целевой, обеспечивающей,
операционного окружения): функциональные, архитектурные, моделирование, и т.п.
• управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем
• управление жизненным циклом
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 6
![Page 7: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/7.jpg)
Источники проблем: Междисциплинарные
• SCADA
• СКУД, Видеонаблюдение
• GSM-навигация
• IoT
• Разные носители и формы
• Строительные конструкции
• Кондиционирование
• Энергетика
• Геология и Климат
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 7
![Page 8: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/8.jpg)
Источники проблем: Сложность
• Бизнес-системы
• Инфраструктура: своя, аутсорсинг, облака, …
• Границы системы - система в глазах смотрящего
… все это перемножить с выше сказанным
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 8
![Page 9: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/9.jpg)
Поиск решения
Что делать?
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 9
![Page 10: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/10.jpg)
Поиск решения: Системная Инженерия
междисциплинарный подход и средства для создания успешных систем
Systems Engineering Handbook, version 2a. — INCOSE, 2004
междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров
MIL-STD-499 Military Standard System Engineering
Management. — Department of Defense, 1969.
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 10
![Page 11: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/11.jpg)
Поиск решения: Системная Инженерия
Правильная деятельность благодаря системноинженерному мышлению: • Целостность, междисциплинарность и
эмерджентность • Система без стейкхолдера не существует • Система – это всегда холон, входящей в холархию • Жизненный цикл
Главный вопрос: ЗАЧЕМ? Главный принцип:
Сначала думать, а затем делать
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 11
![Page 12: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/12.jpg)
СИ vs Project Management
Мотивация:
«Что делать?» vs «Как делать?»
Ориентиры:
«Цели» vs «Ресурсы»
Продолжительность:
«Жизненный Цикл» vs «Стадия»
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 12
![Page 13: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/13.jpg)
Стадии жизненного цикла (ISO/IEC 15288)
a) стадия замысла;
b) стадия разработки;
c) стадия производства;
d) стадия применения;
e) стадия поддержки применения;
f) стадия прекращения применения и списания
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 13
![Page 14: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/14.jpg)
Практики: V-model процесса СИ
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 14
Концепция
Проектирование
Архитектуры
Детальное
проектирование
Реализация
Модульное тестирование и
интеграция
Тестирование и проверка системы
Введение в эксплуатацию и
поддержка
Валидация системы
Верификация системы
Верификация компонент
В р е м я
![Page 15: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/15.jpg)
Практики: Языки моделирования
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 15
• ArchiMate
• Essence
• SysML
• Modelica
• AADL
• etc, etc, etc
![Page 16: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/16.jpg)
Практики: ISO/IEC 15288
Процесс приобретения
Процесс поставки
Процессы предприятия
• управления средой
предприятия
• управления инвестициями
• управления процессами ЖЦ
системы
• управления ресурсами
• управления качеством
Процессы проекта
• планирования проекта
• оценки проекта
• контроля проекта
• принятия решений
• управления рисками
• управления конфигурацией
• управления информацией
Технические процессы
• определения требований
стейкхолдеров
• анализа требований
• проектирования архитектуры
• реализации элементов
системы
• комплексирования
• верификации
• передачи
• валидации
• функционирования
• обслуживания
• изъятия и списания
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 16
![Page 17: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/17.jpg)
Практики: OMG Essence и СИ
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 17
А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014
![Page 18: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/18.jpg)
Основные Роли Системных Инженеров
Инженер по требованиям
Инженер системной архитекторы
Инженер по управлению конфигурацией
Инженер по испытаниям
Инженер по безопасности
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 18
![Page 19: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/19.jpg)
Инженерия защитоспособности
Инженерия безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты. Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести.
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 19
![Page 20: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/20.jpg)
Проблема: Инженерии безопасности и защиты
• Обычно рассматриваются как вторичные дисциплины специальной инженерии
• Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка)
Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно)
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 20
![Page 21: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/21.jpg)
Проблема: Разделение инженерий
Разделение инженерии требований и инженерии безопасности и защиты вызывает: Плохие требования безопасности и защиты, которые часто: • Расплывчаты, непроверяемы, и не истинные требования,
а неосуществимые возможности или цели • Неудовлетворительны для направления архитектуры,
проектирования и реализации • Определены и управляемы отдельно от всех остальных
требований • Игнорируются инженерами по требованиям и
архитекторами • Производятся слишком поздно для архитектуры и
испытаний Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 21
![Page 22: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/22.jpg)
Пример: Типы систем
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 22
![Page 23: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/23.jpg)
Пример: Активы
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 23
![Page 24: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/24.jpg)
Пример : Уязвимости
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 24
![Page 25: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/25.jpg)
Пример : Анализ Нарушений
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 25
![Page 26: Системная Инженерия для CISO](https://reader034.vdocuments.site/reader034/viewer/2022042701/55a1755d1a28ab98468b45a5/html5/thumbnails/26.jpg)
В поисках взаимопонимания ИБ и Бизнеса
Вопросы
Владимир Гнинюк e-mail: [email protected] Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44