Управление ИТ-проектами. Как интегрировать безопасность в ИТ-проекты?

Руководитель центра мониторинга кибербезопасности, Лаборатория Касперского

CISSP, CISA, OSCP

Образование
Московский Государственный Технический Университет им. Н.Э. Баумана

Опыт работы
2016-н.в. Лаборатория Касперского, руководитель SOC

• Внутренний SOC
• Внешний сервис MDR

2012-2016. РН-Информ. Главный менеджер по ИБ

• Инсорсинг сервисов для НК «Роснефть»

2002-2012. ТНК/ТНК-ВР/Тбинформ. Ведущий специалист  Директор департамента

• Интеграция ИБ в ИТ и Бизнеса
• Операционная безопасность 
• Безопасность в ИТ проектах

2001-2002. РосНИИРОС. Разработчик ПО

Полученные сертификаты

• 2007 CISSP: Certified Information Systems Security Professional
• 2008 CISA: Certified Information Systems Auditor
• 2020 OSCP: Offensive Security Certified Professional

Задачи ИБ в ИТ проектах

• Приложения безопасности
• Проекты и Изменения
• Интегрированная безопасность
• Проблематика
• Предпосылки  ИБ  в  проектах
• Схема ИТ проекта
• ИБ в ИТ проектах

Управление ИТ проектами (опыт ТНК BP c 2005)

• CVP: Capital Value Process
• Основные принципы CVP
• Основные действующие лица (Гейткипер, Ответственный, Менеджер проекта)
• Этапы проекта CVP
• Кривая возможности влияния
• Этапы CVP: итог
• Документы на проекте

ИБ в ИТ проектах

• Компромисс влияния. Варианты решения.
• Контрольные  точки
• Предпосылки  документа APSI
• Структура  документа APSI
• Структура  Реестра  рисков
• Процесс
• Жизненный цикл Реестра рисков
• Требования  к архитектору  ИБ

Анализ рисков в ИТ проектах

• Стандартные подходы
• Риски
• Объекты рисков
• Субъекты рисков
• Качественная оценка рисков
• Контрмеры
• Особенности анализа рисков в ИТ проектах
• Общий план анализа рисков

Базовые контроли

• Предпосылки
• Как его разработать?
• Погрузиться в ИТ и ИБ там
• Чего боимся?
• Каталоги контролей

Пример

• Проект «Корпоративная мобильная почта»
• Заключение
• План реализации
• Заключение об участии в проектах
• Владелец ресурса
• Бизнес партнер ИТ/ИБ