Перейти к содержанию

Построение системы управления инф. безопасности


Рекомендуемые сообщения

Дак так и не понял я :о(( СУИБ у Вас включает в себя СУ инцидентами или "Систему технической (контр) разведки ? Смотрю в самый первый Ваш пост в теме.

31864[/snapback]

 

Хотелось бы и то, и другое и даже большего style_emoticons/default/smile7.gif Потому, что (ISO/IEC 27001:2005(E)):

IMPORTANT - This publication does not purport to include all the necessary provisions of a contract. Users are responsible for its correct application. Compliance with an International Standard does not in itself confer immunity from legal obligations.

1 Scope

1.1 General

This International Standard covers all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations). This International Standard specifies the requirements for establishing, implementing, operating, monitoring, reviewing, maintaining and improving a documented ISMS within the context of the organization's overall business risks. It specifies requirements for the implementation of security controls customized to the needs of individual organizations or parts thereof.

The ISMS is designed to ensure the selection of adequate and proportionate security controls that protect information assets and give confidence to interested parties.

NOTE 1:  References to 'business' in this International Standard should be interpreted broadly to mean those activities that are core to the purposes for the organization's existence.

NOTE 2:  ISO/IEC 17799 provides implementation guidance that can be used when designing controls.

1.2 Application

The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size and nature. Excluding any of the requirements specified in Clauses 4, 5, 6, 7, and 8 is not acceptable when an organization claims conformity to this International Standard.

Any exclusion of controls found to be necessary to satisfy the risk acceptance criteria needs to be justified and evidence needs to be provided that the associated risks have been accepted by accountable persons. Where any controls are excluded, claims of conformity to this International Standard are not acceptable unless such exclusions do not affect the organization's ability, and/or responsibility, to provide information security that meets the security requirements determined by risk assessment and applicable legal or regulatory requirements.

NOTE:  If an organization already has an operative business process management system (e.g. in relation with ISO 9001 or ISO 14001), it is preferable in most cases to satisfy the requirements of this International Standard within this existing management system.

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 32
  • Создана
  • Последний ответ
Так Закон Вам дал обширнейшее поле деятельности (и почти ничем не оградил его), а Вы еще и подзаконные акты (ограждающие "поле") хотите, чтоб за Вас сделали...

Сказав "а", говори и "б", тем более обещали же... style_emoticons/default/smile4.gif

 

Интересно: Вы действительно верите в возможность сделать комплексную систему информационной безопасности "нахаляву", на открытом форуме и не зная конкретного объекта/критических рисков/циркулирующей информации/бюджета?

31865[/snapback]

Не нахаляву, не только в открытых, и зная... style_emoticons/default/smile9.gif

А эта тема - этап "Act" PDCA-модели.

Ссылка на комментарий
Поделиться на другие сайты

Ну вот, кто ищет, тот всегда найдет... текст проекта ГОСТ Р ИСО/МЭК 20000-1-2007 и 20000-2-2007 (от февраля 2007), он же ISO/IEC 20000-1(2):2005, он же BS 15000, он же часть нового ITIL.

Управление IT услугами в бизнес-процессах. Устанавливает связь между управлением IT и информационной безопасностью по ГОСТ 17799 (ISO 17799:2000).

Ссылка на комментарий
Поделиться на другие сайты

теплое с мягким, мухи и котлеты.

31930[/snapback]

М-дя, вот я и говорю, что что направления защиты, мягко говоря, никак не взаимосвязаны: каждый варится в собственном соку. Так же как и руководствуется своими понятиями о безопасности.

Хотя, тенденции к комплексности решения стоящих задач улучшаются...

Так, например, по данным ФБР 2004 год в США стал переломным, когда предприятия в подавляющем большинстве телекоммуникационных услуг, ЖКХ, производства и финансовых услуг переключились с технической составляющей обеспечения своей безопасности на организационную. BTW, в 2006 г. на второе место из всего бизнеса в этом выходит сфера розничной торговли. Если надо, могу выложить эти отчеты за 2002-2006 гг.

 

Вот так-то. А у нас пока самодовольство, да амбиции.

Дико извиняюсь, ничего личного
Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...