В своей прошлой заметк е я призывал присылать и выкладывать свои варианты чек-листа для CISO. Выкладываю варианты и мысли коллег:
Александр Бодрик:
Александр Свердлов:
Кудияр Михайлович:
"Можно я просто списком.Повысить осведомленности руководящего звена банка до уровня ...Повысить уровень осознания ИБ на местах ...Повысить уровень осознания задач ИБ каждым администратором...Выжечь администраторов из новеньких ибешников...Думаю этого хватит до конца карьеры."
Валерий Естехин:
"Alexey Lukatsky выложил в своем блоге вариант чек-листа "План CISO на 2019", но мне он показался, честно говоря, не очень актуальным для тех 63% компаний, службы ИБ которых имеют годовой бюджет менее полумиллиона рублей. Поэтому я решил предложить свою версию, а не написать об этом заметку в блоге...План CISO "Кранты-Банка" на 2019 год- подружиться с ИТ;- заманить директора по общей безопасности (ИБ в его подчинении) на Уральский форум, чтобы он понахватался там правильных слов для представления интересов ИБ на Правлении банка;- составить План тренировки паники (план ОНиВД);- избавиться от Windows XP (на 110 ПК);- найти того, кому делегировать;- разобраться с АРМ КБР-Н;- понять, что делать с биометрией в банке и могут ли за это уволить;- найти фокус в ИБ, а не пытаться защитить всё на пределе возможностей;- почитать в Интернете про План/Цель/Миссию ИБ;- обновить своё резюме."
Николай Виноградов
"Реализовать проект обеспечения видимости ИТ-инфраструктуры и процессов на ней (visibility)"
Илья Борисов
"Тут внезапно случился флешмоб - чеклист CISO. Я плохо составляю чеклисты, чессно слово, поэтому лучше я напишу как выглядит обычный день обычного CISO.<Понедельник>6-00 Подъем. Чтение опубликованных за ночь постов в блоге Лукацкого.7-30 Завтрак. Чтение твиттера Лукацкого, телеграма Лукацкого, инстаграма Лукацкого, фейсбука Лукацкого... Поиск отличий.8-00 Попытка осмыслить прочитанное и собраться на работу.9-00 Проверка почты. Запуск терминала Kali Linux с выводом произвольного лог-файла на экран.10-00 Совещание с ИТ.11-00 Совещание с менеджментом.12-00 Совещание с интеграторами/вендорами.13-00 Чтение опубликованных утром постов в блоге Лукацкого.14-00 Медитация - Чтение базы данных угроз ФСТЭК.14-30 Оценка рисков методом Монт... Вообщем бросанием монетки с записью результатов в Excel.14-45 Создание презентации с количественной оценкой рисков на базе статистики и с использованием метода Монте-Карло.15-00 Взлом кулера в кабинете генерального директора по сети.15-05 Написание отчета о проведенном силами подразделения ИБ пентесте. Отправка отчета топ-менеджменту.15-09 Чтение опубликованных в обед записей в блоге Лукацкого.16-39 Планирование бюджета.16-40 Медитация. Успокоительное. Снотворное. Вызов электрика для починки кулера генерального.16-45 Беседа с руководителем ИТ в курилке. Обсуждение бюджетов.17-00 Выпили. Помянули прошлогодний бюджет.17-10 Совместное чтение блога Лукацкого под коньяк.18-30 Дорога домой.19-30 Ужин с чтением блога Лукацкого.20-00 Чтение новостей по ИБ за день и разбор почты.22-00 Чтение НПА ФСТЭК/ФСБ/ПРФ/ISO 27001/COBIT перед сном. PS Если не помогает, то читать распечатанную базу угроз ФСТЭК."
Вроде опубликовал все...
Как вам варианты коллег? Какой понравился больше всего?