Системная Инженерия для ciso
TRANSCRIPT
101 курс 101 курса Системной Инжинирии для CISO
Конференция UISGCON10 Владимир Гнинюк ген. директор ООО «Глобал АйТи Сервис»
Современное Предприятие
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 2
Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.
Источники проблем СУИБ
• Онтологические
• Управленческие
• Междисциплинарные
• Сложность
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 3
Источники проблем: Что есть ИБ?
Інформаційна безпека (information security) Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010)
-----------------------------------------------------------------------------
Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010)
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 4
Шаблоны Картины мира
© Владимир Гнинюк, 2012
Конференция UISGCON8
Страница 5
Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002
Business Model for Information Security от ISACA (2010)
Источники проблем: Управление
• где написано, что надо создавать "подразделение ИБ"?
• управление требованиями
• описание систем (целевой, обеспечивающей,
операционного окружения): функциональные, архитектурные, моделирование, и т.п.
• управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем
• управление жизненным циклом
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 6
Источники проблем: Междисциплинарные
• SCADA
• СКУД, Видеонаблюдение
• GSM-навигация
• IoT
• Разные носители и формы
• Строительные конструкции
• Кондиционирование
• Энергетика
• Геология и Климат
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 7
Источники проблем: Сложность
• Бизнес-системы
• Инфраструктура: своя, аутсорсинг, облака, …
• Границы системы - система в глазах смотрящего
… все это перемножить с выше сказанным
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 8
Поиск решения
Что делать?
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 9
Поиск решения: Системная Инженерия
междисциплинарный подход и средства для создания успешных систем
Systems Engineering Handbook, version 2a. — INCOSE, 2004
междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров
MIL-STD-499 Military Standard System Engineering
Management. — Department of Defense, 1969.
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 10
Поиск решения: Системная Инженерия
Правильная деятельность благодаря системноинженерному мышлению: • Целостность, междисциплинарность и
эмерджентность • Система без стейкхолдера не существует • Система – это всегда холон, входящей в холархию • Жизненный цикл
Главный вопрос: ЗАЧЕМ? Главный принцип:
Сначала думать, а затем делать
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 11
СИ vs Project Management
Мотивация:
«Что делать?» vs «Как делать?»
Ориентиры:
«Цели» vs «Ресурсы»
Продолжительность:
«Жизненный Цикл» vs «Стадия»
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 12
Стадии жизненного цикла (ISO/IEC 15288)
a) стадия замысла;
b) стадия разработки;
c) стадия производства;
d) стадия применения;
e) стадия поддержки применения;
f) стадия прекращения применения и списания
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 13
Практики: V-model процесса СИ
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 14
Концепция
Проектирование
Архитектуры
Детальное
проектирование
Реализация
Модульное тестирование и
интеграция
Тестирование и проверка системы
Введение в эксплуатацию и
поддержка
Валидация системы
Верификация системы
Верификация компонент
В р е м я
Практики: Языки моделирования
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 15
• ArchiMate
• Essence
• SysML
• Modelica
• AADL
• etc, etc, etc
Практики: ISO/IEC 15288
Процесс приобретения
Процесс поставки
Процессы предприятия
• управления средой
предприятия
• управления инвестициями
• управления процессами ЖЦ
системы
• управления ресурсами
• управления качеством
Процессы проекта
• планирования проекта
• оценки проекта
• контроля проекта
• принятия решений
• управления рисками
• управления конфигурацией
• управления информацией
Технические процессы
• определения требований
стейкхолдеров
• анализа требований
• проектирования архитектуры
• реализации элементов
системы
• комплексирования
• верификации
• передачи
• валидации
• функционирования
• обслуживания
• изъятия и списания
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 16
Практики: OMG Essence и СИ
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 17
А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014
Основные Роли Системных Инженеров
Инженер по требованиям
Инженер системной архитекторы
Инженер по управлению конфигурацией
Инженер по испытаниям
Инженер по безопасности
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 18
Инженерия защитоспособности
Инженерия безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты. Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести.
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 19
Проблема: Инженерии безопасности и защиты
• Обычно рассматриваются как вторичные дисциплины специальной инженерии
• Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка)
Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно)
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 20
Проблема: Разделение инженерий
Разделение инженерии требований и инженерии безопасности и защиты вызывает: Плохие требования безопасности и защиты, которые часто: • Расплывчаты, непроверяемы, и не истинные требования,
а неосуществимые возможности или цели • Неудовлетворительны для направления архитектуры,
проектирования и реализации • Определены и управляемы отдельно от всех остальных
требований • Игнорируются инженерами по требованиям и
архитекторами • Производятся слишком поздно для архитектуры и
испытаний Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 21
Пример: Типы систем
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 22
Пример: Активы
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 23
Пример : Уязвимости
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 24
Пример : Анализ Нарушений
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 25
В поисках взаимопонимания ИБ и Бизнеса
Вопросы
Владимир Гнинюк e-mail: [email protected] Блог: «Make IT Secure» http://vgninyuk.blogspot.com/ Тел. +380 50 44 008 44