Перейти к содержанию

Построение системы управления инф. безопасности


Рекомендуемые сообщения

Рекомендую все же толковые курсы по этим стандартам. Причем в первую очередь по ISO 27001. Как выяснилось, многие вещи совершенно не очевидны и в стандарте подразумеваются "между строк".

За последнее предложение - style_emoticons/default/smile21.gif

 

Есть курсы непосредственно от BSI. Мне они были крайне полезны, планирую продолжать.

31767[/snapback]

Маловато будет style_emoticons/default/smile6.gif

 

Конкретный пример:

С крупной международной аудиторской компанией подписывается договор на проведение аудита соответствию требованиям международных стандартов финансовой отчетности. В нем, в соответствии с требованиями стандартов ИБ, конечно, присутствуют два пункта о сохранении конфиденциальности. Но! "Между строк" они мягко и плавно сводятся на нет. По настоянию заключен отдельный договор о сохранении конфиденциальности (четыре страницы в пользу раскрывающей стороны).

Ну не хочу я, что бы этот "партнер" продал информацию, например, в РБК, а они потом бы ее продавали нашим конкурентам! style_emoticons/default/smile19.gif

2 Toparenko: Это к вопросу о конкурентной разведке style_emoticons/default/smile3.gif

 

Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... style_emoticons/default/smile2.gif

В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности.

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 32
  • Создана
  • Последний ответ
Вот так всегда, когда говорят люди, прошедшую СССРовску школу технической (даже не технологической) защиты информации или "вскрытия" информации (без разницы от технилогии). Как всегда с отставанием в 7-10 лет...  :smile16:

LOL

 

Учите историю... Т.н. "СССРовская" школа вышла из наработок спецслужб СССР и ушла в бизнес только из-за развала этих спецслужб. Т.н. "западная" школа - это метод проб и ошибок западного бизнеса, где физической безопасностью начали заниматься юристы, а компьютерной - IT-шники (наработки западных спецслужб в бизнес попадают крохами).

 

Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау...

 

Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт).

Обеспечение (к.-л.) безопасности и проведение (к.-л.) розыскных мероприятий - по факту - одна палка о двух концах. Методы и средства одни, цели - противоположны.

 

:smile17:  Примитивизм.  Безопасность сводится к банальной защите, а технологии - до техники. В тех же ГОСТах (даже в последних принятых и готовящихся к принятию) идет (i) подмена и/или (ii) неправильное толкование терминов.

Здесь Вы видимо совсем запутались в определениях. Техническая система и технология это вообще-то совершенно разные понятия

Показателен пример перевода ISO/IEC 27001:2005(E).

 

ЗАО "Технорматив":

"3.4 защита информации [information security]

сохранение  конфиденциальности, целостности  и доступности  информации; кроме того,  также  могут  быть  включены  другие  свойства,  такие  как аутентичность, подотчетность, неотрекаемость и надежность

3.7 система менеджмента защиты информации, СМЗИ [information security management system, ISMS]

часть  общей  системы  менеджмента,  основанной  на  подходе  деловых  рисков,  с целью  создать,  внедрить,  эксплуатировать,  постоянно  контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

ПРИМЕЧАНИЕ:  Система  менеджмента  включает  организационную  структуру,  политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы."

 

ООО "Диджитал Секьюрити":

"3.4 Информационная безопасность (information security) – обеспечение

конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств [iSO/IEC 17799:2005].

3.7 Система управления информационной безопасностью / СУИБ (information security management system / ISMS) – часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности.

Примечание: Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы."

 

Хотя, это "болезнь" наших законодателей а, в первую очередь - "технарей" из академий и институтов exКГБ.  :smile17:

 

Тут я полностью соглашусь с поставленной проблематикой в "Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник для вузов. / 2 изд., изм. и до. - М.: Юридический центр Пресс, 2005. - 736 с.": долго еще нам перестраиваться.

Ничего нового, только Вы зря "киваете" на "exКГБ" - "Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену.

 

Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer".

Последнее слово - ключевое

31769[/snapback]

Вы занялись ИБ и не готовы выложить три десятка тыс. руб....

 

"Безопасность - это дорогое удовольствие" (с)

 

IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)...

 

Кстати: По рекомендации BSI стандарты серии 21000 и 27000 должны вводиться после начала ввода стандартов серии 9000, а у Вас это не сделано (если сделано, то формально).

Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... smile2.gif

В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности.

Так это как раз и есть решения на основе т.н. "западной" школы...

 

Если есть желание - можно обсудить структуру комплексной СИБ в личке, но без знания и обследования конкретного объекта это будет все равно неполным...

Ссылка на комментарий
Поделиться на другие сайты

Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ)

Ссылка на комментарий
Поделиться на другие сайты

Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ)

31775[/snapback]

 

Спасибо, - это я опечатался... Конечно, имеется ввиду "Система Управления Информационной Безопасностью"

Ссылка на комментарий
Поделиться на другие сайты

Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау...

Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт).

Так я всегда и говорил, что наша техническая (а так же математическая) школа была (и, надеюсь, будет) лучшей. style_emoticons/default/smile5.gif

Но между защитой и безопасностью нельзя ставить знак равенства.

 

Здесь Вы видимо совсем запутались в определениях...

Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer".

Не я, а законотворцы и переводчики: см., например, Стандарты ИБ: ищем ошибки в новом ГОСТе. Обратите внимание, кто подготовил этот стандарт. style_emoticons/default/smile4.gif

 

"Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену.

style_emoticons/default/smile9.gif

 

IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)...

Вы занялись ИБ и не готовы выложить три десятка тыс. руб....

"Безопасность - это дорогое удовольствие" (с)

За это - скорее, пока, нет. Сыровато как-то...

 

Если есть желание - можно обсудить структуру комплексной СИБ в личке,

Структура и функционирование и так мне понятны...

 

но без знания и обследования конкретного объекта это будет все равно неполным...

31774[/snapback]

Вот и давайте разберем на примере "МТТ" и "ЛукОЙЛ", которые имеют СУИБ и подтверждающие сертификаты style_emoticons/default/smile3.gif

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...