Igor39 Опубликовано 4 сентября, 2007 Автор Поделиться Опубликовано 4 сентября, 2007 Рекомендую все же толковые курсы по этим стандартам. Причем в первую очередь по ISO 27001. Как выяснилось, многие вещи совершенно не очевидны и в стандарте подразумеваются "между строк". За последнее предложение - style_emoticons/default/smile21.gif Есть курсы непосредственно от BSI. Мне они были крайне полезны, планирую продолжать. 31767[/snapback] Маловато будет style_emoticons/default/smile6.gif Конкретный пример: С крупной международной аудиторской компанией подписывается договор на проведение аудита соответствию требованиям международных стандартов финансовой отчетности. В нем, в соответствии с требованиями стандартов ИБ, конечно, присутствуют два пункта о сохранении конфиденциальности. Но! "Между строк" они мягко и плавно сводятся на нет. По настоянию заключен отдельный договор о сохранении конфиденциальности (четыре страницы в пользу раскрывающей стороны). Ну не хочу я, что бы этот "партнер" продал информацию, например, в РБК, а они потом бы ее продавали нашим конкурентам! style_emoticons/default/smile19.gif 2 Toparenko: Это к вопросу о конкурентной разведке style_emoticons/default/smile3.gif Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... style_emoticons/default/smile2.gif В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 4 сентября, 2007 Поделиться Опубликовано 4 сентября, 2007 Вот так всегда, когда говорят люди, прошедшую СССРовску школу технической (даже не технологической) защиты информации или "вскрытия" информации (без разницы от технилогии). Как всегда с отставанием в 7-10 лет... :smile16: LOL Учите историю... Т.н. "СССРовская" школа вышла из наработок спецслужб СССР и ушла в бизнес только из-за развала этих спецслужб. Т.н. "западная" школа - это метод проб и ошибок западного бизнеса, где физической безопасностью начали заниматься юристы, а компьютерной - IT-шники (наработки западных спецслужб в бизнес попадают крохами). Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау... Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт). Обеспечение (к.-л.) безопасности и проведение (к.-л.) розыскных мероприятий - по факту - одна палка о двух концах. Методы и средства одни, цели - противоположны. :smile17: Примитивизм. Безопасность сводится к банальной защите, а технологии - до техники. В тех же ГОСТах (даже в последних принятых и готовящихся к принятию) идет (i) подмена и/или (ii) неправильное толкование терминов. Здесь Вы видимо совсем запутались в определениях. Техническая система и технология это вообще-то совершенно разные понятия Показателен пример перевода ISO/IEC 27001:2005(E). ЗАО "Технорматив": "3.4 защита информации [information security] сохранение конфиденциальности, целостности и доступности информации; кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотрекаемость и надежность 3.7 система менеджмента защиты информации, СМЗИ [information security management system, ISMS] часть общей системы менеджмента, основанной на подходе деловых рисков, с целью создать, внедрить, эксплуатировать, постоянно контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации. ПРИМЕЧАНИЕ: Система менеджмента включает организационную структуру, политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы." ООО "Диджитал Секьюрити": "3.4 Информационная безопасность (information security) – обеспечение конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств [iSO/IEC 17799:2005]. 3.7 Система управления информационной безопасностью / СУИБ (information security management system / ISMS) – часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности. Примечание: Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы." Хотя, это "болезнь" наших законодателей а, в первую очередь - "технарей" из академий и институтов exКГБ. :smile17: Тут я полностью соглашусь с поставленной проблематикой в "Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник для вузов. / 2 изд., изм. и до. - М.: Юридический центр Пресс, 2005. - 736 с.": долго еще нам перестраиваться. Ничего нового, только Вы зря "киваете" на "exКГБ" - "Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену. Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer". Последнее слово - ключевое 31769[/snapback] Вы занялись ИБ и не готовы выложить три десятка тыс. руб.... "Безопасность - это дорогое удовольствие" (с) IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)... Кстати: По рекомендации BSI стандарты серии 21000 и 27000 должны вводиться после начала ввода стандартов серии 9000, а у Вас это не сделано (если сделано, то формально). Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... smile2.gif В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности. Так это как раз и есть решения на основе т.н. "западной" школы... Если есть желание - можно обсудить структуру комплексной СИБ в личке, но без знания и обследования конкретного объекта это будет все равно неполным... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 4 сентября, 2007 Поделиться Опубликовано 4 сентября, 2007 Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Igor39 Опубликовано 4 сентября, 2007 Автор Поделиться Опубликовано 4 сентября, 2007 Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ) 31775[/snapback] Спасибо, - это я опечатался... Конечно, имеется ввиду "Система Управления Информационной Безопасностью" Ссылка на комментарий Поделиться на другие сайты More sharing options...
Igor39 Опубликовано 4 сентября, 2007 Автор Поделиться Опубликовано 4 сентября, 2007 Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау... Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт). Так я всегда и говорил, что наша техническая (а так же математическая) школа была (и, надеюсь, будет) лучшей. style_emoticons/default/smile5.gif Но между защитой и безопасностью нельзя ставить знак равенства. Здесь Вы видимо совсем запутались в определениях... Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer". Не я, а законотворцы и переводчики: см., например, Стандарты ИБ: ищем ошибки в новом ГОСТе. Обратите внимание, кто подготовил этот стандарт. style_emoticons/default/smile4.gif "Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену. style_emoticons/default/smile9.gif IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)... Вы занялись ИБ и не готовы выложить три десятка тыс. руб.... "Безопасность - это дорогое удовольствие" (с) За это - скорее, пока, нет. Сыровато как-то... Если есть желание - можно обсудить структуру комплексной СИБ в личке, Структура и функционирование и так мне понятны... но без знания и обследования конкретного объекта это будет все равно неполным... 31774[/snapback] Вот и давайте разберем на примере "МТТ" и "ЛукОЙЛ", которые имеют СУИБ и подтверждающие сертификаты style_emoticons/default/smile3.gif Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.