Перейти к содержанию

Построение системы управления инф. безопасности


Рекомендуемые сообщения

Ищется литература по построению Системы управления ИБ в соответствии с ISO/IEC 27001 и ISO/IEC 17799, желательно с технической системой (контр-)разведкой.

 

Сами стандарты у меня есть как на английском, так и на русском. Нужна прикладная литература.

Например, кое-что есть в:

1. Основы информационной безопасности. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. - М.: Горячая линия - Телеком, 2006. - 544 с.: ил.

Но информация по устаревшим или не совсем тем стандартам (кроме США).

Лежит: iFolder и DepositFiles

2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов. - М.: Горячая линия-Телеком, 2004. - 280 с. ил.

Но полезна лишь методами расчета рисков, хотя и заморочено. Ведь существуют ведь проще методики, а?

Лежит: iFolder и DepositFiles

3. ГОСТы России по информационной безопасности.

В т.ч. по СУИБ и анализу рисков, но уж очень мало еще у нас нац. стандартов.

Лежит: iFolder и DepositFiles

4. Spivey, Mark D. Practical hacking techniques and countermeasures. / Mark D. Spivey. - Boca Raton, FL, USA: Auerbach Publications, 2007 (Nov 2006). - 749 p.

Вот это действительно стоящая книга по практике технического аудита и (контр-)разведки . Но это менее 1/10 того, что нужно.

Лежит: iFolder и DepositFiles

БТВ, пароль на 3 и 4: 6hs9bKs. (8 символов)

 

Может есть у кого что-нибудь еще полезное? Вопросы тех.защиты (в т.ч. антивирусами, крипто и пр.) не в тему. Вопрос в построении самой системы управления.

Старые курсы DigitalSecurity не нужны, а вот их софт бы пощупать... style_emoticons/default/smile16.gif

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 32
  • Создана
  • Последний ответ
Ищется литература по построению Системы управления ИБ в соответствии с ISO/IEC 27001 и ISO/IEC 17799, желательно с технической системой (контр-)разведкой.

IMO ISO/IEC 27001/ISO/IEC 17799 (система управления информационной безопасностью [в смысле компьютерной безопасности]) и техническая система контрразведки это немного разные вещи (первое лишь небольшой кусочек второго), а уж тем более имеет мало общего с системой технической разведки.

В т.ч. по СУИБ и анализу рисков, но уж очень мало еще у нас нац. стандартов.

Не сказал бы - см. Нормативная база РФ по безопасности

Может есть у кого что-нибудь еще полезное? Вопросы тех.защиты (в т.ч. антивирусами, крипто и пр.) не в тему. Вопрос в построении самой системы управления.

31748[/snapback]

См. Fast Food и ЧтиВо

Старые курсы DigitalSecurity не нужны, а вот их софт бы пощупать...

На сколько я помню демоверсия у них висит на сайте

Ссылка на комментарий
Поделиться на другие сайты

Ищется литература по построению Системы управления ИБ в соответствии с ISO/IEC 27001 и ISO/IEC 17799, желательно с технической системой (контр-)разведкой.

 

Сами стандарты у меня есть как на английском, так и на русском. Нужна прикладная литература.

 

 

Рекомендую все же толковые курсы по этим стандартам. Причем в первую очередь по ISO 27001. Как выяснилось, многие вещи совершенно не очевидны и в стандарте подразумеваются "между строк". За деньги сэкономите массу времени и снимете кучу проблем по внедрению до их возникновения.

 

Есть курсы непосредственно от BSI. Мне они были крайне полезны, планирую продолжать.

Ссылка на комментарий
Поделиться на другие сайты

31762[/snapback]

IMO ISO/IEC 27001/ISO/IEC 17799 (система управления информационной безопасностью [в смысле компьютерной безопасности])

 

Вот так всегда, когда говорят люди, прошедшую СССРовску школу технической (даже не технологической) защиты информации или "вскрытия" информации (без разницы от технилогии). Как всегда с отставанием в 7-10 лет... style_emoticons/default/smile16.gif

 

и техническая система контрразведки это немного разные вещи (первое лишь небольшой кусочек второго) и техническая система контрразведки это немного разные вещи (первое лишь небольшой кусочек второго), а уж тем более имеет мало общего с системой технической разведки.

 

Обеспечение (к.-л.) безопасности и проведение (к.-л.) розыскных мероприятий - по факту - одна палка о двух концах. Методы и средства одни, цели - противоположны.

 

Не сказал бы - см....

 

style_emoticons/default/smile17.gifПримитивизм. Безопасность сводится к банальной защите, а технологии - до техники. В тех же ГОСТах (даже в последних принятых и готовящихся к принятию) идет (i) подмена и/или (ii) неправильное толкование терминов.

 

Показателен пример перевода ISO/IEC 27001:2005(E).

 

ЗАО "Технорматив":

"3.4 защита информации [information security]

сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность

3.7 система менеджмента защиты информации, СМЗИ [information security management system, ISMS]

часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы."

 

ООО "Диджитал Секьюрити":

"3.4 Информационная безопасность (information security) – обеспечение

конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств [iSO/IEC 17799:2005].

3.7 Система управления информационной безопасностью / СУИБ (information security management system / ISMS) – часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности.

Примечание: Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы."

 

Хотя, это "болезнь" наших законодателей а, в первую очередь - "технарей" из академий и институтов exКГБ. style_emoticons/default/smile17.gif

 

Тут я полностью соглашусь с поставленной проблематикой в "Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник для вузов. / 2 изд., изм. и до. - М.: Юридический центр Пресс, 2005. - 736 с.": долго еще нам перестраиваться.

 

На сколько я помню демоверсия...

Последнее слово - ключевое

Ссылка на комментарий
Поделиться на другие сайты

Рекомендую все же толковые курсы по этим стандартам. Причем в первую очередь по ISO 27001. Как выяснилось, многие вещи совершенно не очевидны и в стандарте подразумеваются "между строк".

За последнее предложение - style_emoticons/default/smile21.gif

 

Есть курсы непосредственно от BSI. Мне они были крайне полезны, планирую продолжать.

31767[/snapback]

Маловато будет style_emoticons/default/smile6.gif

 

Конкретный пример:

С крупной международной аудиторской компанией подписывается договор на проведение аудита соответствию требованиям международных стандартов финансовой отчетности. В нем, в соответствии с требованиями стандартов ИБ, конечно, присутствуют два пункта о сохранении конфиденциальности. Но! "Между строк" они мягко и плавно сводятся на нет. По настоянию заключен отдельный договор о сохранении конфиденциальности (четыре страницы в пользу раскрывающей стороны).

Ну не хочу я, что бы этот "партнер" продал информацию, например, в РБК, а они потом бы ее продавали нашим конкурентам! style_emoticons/default/smile19.gif

2 Toparenko: Это к вопросу о конкурентной разведке style_emoticons/default/smile3.gif

 

Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... style_emoticons/default/smile2.gif

В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности.

Ссылка на комментарий
Поделиться на другие сайты

Вот так всегда, когда говорят люди, прошедшую СССРовску школу технической (даже не технологической) защиты информации или "вскрытия" информации (без разницы от технилогии). Как всегда с отставанием в 7-10 лет...  :smile16:

LOL

 

Учите историю... Т.н. "СССРовская" школа вышла из наработок спецслужб СССР и ушла в бизнес только из-за развала этих спецслужб. Т.н. "западная" школа - это метод проб и ошибок западного бизнеса, где физической безопасностью начали заниматься юристы, а компьютерной - IT-шники (наработки западных спецслужб в бизнес попадают крохами).

 

Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау...

 

Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт).

Обеспечение (к.-л.) безопасности и проведение (к.-л.) розыскных мероприятий - по факту - одна палка о двух концах. Методы и средства одни, цели - противоположны.

 

:smile17:  Примитивизм.  Безопасность сводится к банальной защите, а технологии - до техники. В тех же ГОСТах (даже в последних принятых и готовящихся к принятию) идет (i) подмена и/или (ii) неправильное толкование терминов.

Здесь Вы видимо совсем запутались в определениях. Техническая система и технология это вообще-то совершенно разные понятия

Показателен пример перевода ISO/IEC 27001:2005(E).

 

ЗАО "Технорматив":

"3.4 защита информации [information security]

сохранение  конфиденциальности, целостности  и доступности  информации; кроме того,  также  могут  быть  включены  другие  свойства,  такие  как аутентичность, подотчетность, неотрекаемость и надежность

3.7 система менеджмента защиты информации, СМЗИ [information security management system, ISMS]

часть  общей  системы  менеджмента,  основанной  на  подходе  деловых  рисков,  с целью  создать,  внедрить,  эксплуатировать,  постоянно  контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

ПРИМЕЧАНИЕ:  Система  менеджмента  включает  организационную  структуру,  политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы."

 

ООО "Диджитал Секьюрити":

"3.4 Информационная безопасность (information security) – обеспечение

конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств [iSO/IEC 17799:2005].

3.7 Система управления информационной безопасностью / СУИБ (information security management system / ISMS) – часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности.

Примечание: Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы."

 

Хотя, это "болезнь" наших законодателей а, в первую очередь - "технарей" из академий и институтов exКГБ.  :smile17:

 

Тут я полностью соглашусь с поставленной проблематикой в "Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник для вузов. / 2 изд., изм. и до. - М.: Юридический центр Пресс, 2005. - 736 с.": долго еще нам перестраиваться.

Ничего нового, только Вы зря "киваете" на "exКГБ" - "Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену.

 

Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer".

Последнее слово - ключевое

31769[/snapback]

Вы занялись ИБ и не готовы выложить три десятка тыс. руб....

 

"Безопасность - это дорогое удовольствие" (с)

 

IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)...

 

Кстати: По рекомендации BSI стандарты серии 21000 и 27000 должны вводиться после начала ввода стандартов серии 9000, а у Вас это не сделано (если сделано, то формально).

Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... smile2.gif

В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности.

Так это как раз и есть решения на основе т.н. "западной" школы...

 

Если есть желание - можно обсудить структуру комплексной СИБ в личке, но без знания и обследования конкретного объекта это будет все равно неполным...

Ссылка на комментарий
Поделиться на другие сайты

Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ)

Ссылка на комментарий
Поделиться на другие сайты

Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ)

31775[/snapback]

 

Спасибо, - это я опечатался... Конечно, имеется ввиду "Система Управления Информационной Безопасностью"

Ссылка на комментарий
Поделиться на другие сайты

Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау...

Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт).

Так я всегда и говорил, что наша техническая (а так же математическая) школа была (и, надеюсь, будет) лучшей. style_emoticons/default/smile5.gif

Но между защитой и безопасностью нельзя ставить знак равенства.

 

Здесь Вы видимо совсем запутались в определениях...

Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer".

Не я, а законотворцы и переводчики: см., например, Стандарты ИБ: ищем ошибки в новом ГОСТе. Обратите внимание, кто подготовил этот стандарт. style_emoticons/default/smile4.gif

 

"Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену.

style_emoticons/default/smile9.gif

 

IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)...

Вы занялись ИБ и не готовы выложить три десятка тыс. руб....

"Безопасность - это дорогое удовольствие" (с)

За это - скорее, пока, нет. Сыровато как-то...

 

Если есть желание - можно обсудить структуру комплексной СИБ в личке,

Структура и функционирование и так мне понятны...

 

но без знания и обследования конкретного объекта это будет все равно неполным...

31774[/snapback]

Вот и давайте разберем на примере "МТТ" и "ЛукОЙЛ", которые имеют СУИБ и подтверждающие сертификаты style_emoticons/default/smile3.gif

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...