Перейти к содержанию
View in the app

A better way to browse. Learn more.

IT2B - Технологии разведки для бизнеса

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Построение системы управления инф. безопасности

Featured Replies

Опубликовано
  • Автор
Рекомендую все же толковые курсы по этим стандартам. Причем в первую очередь по ISO 27001. Как выяснилось, многие вещи совершенно не очевидны и в стандарте подразумеваются "между строк".

За последнее предложение - style_emoticons/default/smile21.gif

 

Есть курсы непосредственно от BSI. Мне они были крайне полезны, планирую продолжать.

31767[/snapback]

Маловато будет style_emoticons/default/smile6.gif

 

Конкретный пример:

С крупной международной аудиторской компанией подписывается договор на проведение аудита соответствию требованиям международных стандартов финансовой отчетности. В нем, в соответствии с требованиями стандартов ИБ, конечно, присутствуют два пункта о сохранении конфиденциальности. Но! "Между строк" они мягко и плавно сводятся на нет. По настоянию заключен отдельный договор о сохранении конфиденциальности (четыре страницы в пользу раскрывающей стороны).

Ну не хочу я, что бы этот "партнер" продал информацию, например, в РБК, а они потом бы ее продавали нашим конкурентам! style_emoticons/default/smile19.gif

2 Toparenko: Это к вопросу о конкурентной разведке style_emoticons/default/smile3.gif

 

Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... style_emoticons/default/smile2.gif

В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности.

  • Ответов 32
  • Просмотры 14,1т
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано
Вот так всегда, когда говорят люди, прошедшую СССРовску школу технической (даже не технологической) защиты информации или "вскрытия" информации (без разницы от технилогии). Как всегда с отставанием в 7-10 лет...  :smile16:

LOL

 

Учите историю... Т.н. "СССРовская" школа вышла из наработок спецслужб СССР и ушла в бизнес только из-за развала этих спецслужб. Т.н. "западная" школа - это метод проб и ошибок западного бизнеса, где физической безопасностью начали заниматься юристы, а компьютерной - IT-шники (наработки западных спецслужб в бизнес попадают крохами).

 

Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау...

 

Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт).

Обеспечение (к.-л.) безопасности и проведение (к.-л.) розыскных мероприятий - по факту - одна палка о двух концах. Методы и средства одни, цели - противоположны.

 

:smile17:  Примитивизм.  Безопасность сводится к банальной защите, а технологии - до техники. В тех же ГОСТах (даже в последних принятых и готовящихся к принятию) идет (i) подмена и/или (ii) неправильное толкование терминов.

Здесь Вы видимо совсем запутались в определениях. Техническая система и технология это вообще-то совершенно разные понятия

Показателен пример перевода ISO/IEC 27001:2005(E).

 

ЗАО "Технорматив":

"3.4 защита информации [information security]

сохранение  конфиденциальности, целостности  и доступности  информации; кроме того,  также  могут  быть  включены  другие  свойства,  такие  как аутентичность, подотчетность, неотрекаемость и надежность

3.7 система менеджмента защиты информации, СМЗИ [information security management system, ISMS]

часть  общей  системы  менеджмента,  основанной  на  подходе  деловых  рисков,  с целью  создать,  внедрить,  эксплуатировать,  постоянно  контролировать, анализировать, поддерживать в рабочем состоянии и улучшать защиту информации.

ПРИМЕЧАНИЕ:  Система  менеджмента  включает  организационную  структуру,  политику, деятельность по планированию, ответственность, практики, процедуры, процессы и ресурсы."

 

ООО "Диджитал Секьюрити":

"3.4 Информационная безопасность (information security) – обеспечение

конфиденциальности, целостности и доступности информации, а также подлинности информации, надежности систем, контроля над выполнением обязательств [iSO/IEC 17799:2005].

3.7 Система управления информационной безопасностью / СУИБ (information security management system / ISMS) – часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности.

Примечание: Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы."

 

Хотя, это "болезнь" наших законодателей а, в первую очередь - "технарей" из академий и институтов exКГБ.  :smile17:

 

Тут я полностью соглашусь с поставленной проблематикой в "Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право. Учебник для вузов. / 2 изд., изм. и до. - М.: Юридический центр Пресс, 2005. - 736 с.": долго еще нам перестраиваться.

Ничего нового, только Вы зря "киваете" на "exКГБ" - "Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену.

 

Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer".

Последнее слово - ключевое

31769[/snapback]

Вы занялись ИБ и не готовы выложить три десятка тыс. руб....

 

"Безопасность - это дорогое удовольствие" (с)

 

IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)...

 

Кстати: По рекомендации BSI стандарты серии 21000 и 27000 должны вводиться после начала ввода стандартов серии 9000, а у Вас это не сделано (если сделано, то формально).

Увы, существующие комплексы/решения для построения и функционирования СУИБД меня, мягко говоря, не устраивают... smile2.gif

В первую очередь тем, что "СУИБД - часть всеобщей системы управления", и эта часть должна быть интегрирована во все сферы бизнеса. А не только подразделений ИТ и службы безопасности.

Так это как раз и есть решения на основе т.н. "западной" школы...

 

Если есть желание - можно обсудить структуру комплексной СИБ в личке, но без знания и обследования конкретного объекта это будет все равно неполным...

Опубликовано

Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ)

Опубликовано
  • Автор
Кстати о терминах: в самом вопросе поста заложено ограничение по комплексности - Система Управления Информационной Безопасностью Данных (СУИБД) является более узким понятием, чем Система Информационной Безопасности (СИБ)

31775[/snapback]

 

Спасибо, - это я опечатался... Конечно, имеется ввиду "Система Управления Информационной Безопасностью"

Опубликовано
  • Автор
Для примера: наши специалисты по ИБ уже давно говорили о критичности охраны носителей информации - на западе это пару-тройку лет назад стали подносить это как ноу-хау...

Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты. Т.н. "западная" школа еще не вышла из уровня "заплаточной" защиты (хотя и довольно-таки неплохо начинает перенимать наш опыт).

Так я всегда и говорил, что наша техническая (а так же математическая) школа была (и, надеюсь, будет) лучшей. style_emoticons/default/smile5.gif

Но между защитой и безопасностью нельзя ставить знак равенства.

 

Здесь Вы видимо совсем запутались в определениях...

Меня, например, всегда коробил термин "офицер безопасности" в коммерческих организациях. "Дубовый" перевод термина"Security officer".

Не я, а законотворцы и переводчики: см., например, Стандарты ИБ: ищем ошибки в новом ГОСТе. Обратите внимание, кто подготовил этот стандарт. style_emoticons/default/smile4.gif

 

"Контора" работала более грамотно. Это как раз результат работы тех, кто пришли им на смену.

style_emoticons/default/smile9.gif

 

IMO: демоверсия дает представление о возможностях продукта (довольно-таки тяжело применимых к нынешнему состоянию отечественного бизнеса)...

Вы занялись ИБ и не готовы выложить три десятка тыс. руб....

"Безопасность - это дорогое удовольствие" (с)

За это - скорее, пока, нет. Сыровато как-то...

 

Если есть желание - можно обсудить структуру комплексной СИБ в личке,

Структура и функционирование и так мне понятны...

 

но без знания и обследования конкретного объекта это будет все равно неполным...

31774[/snapback]

Вот и давайте разберем на примере "МТТ" и "ЛукОЙЛ", которые имеют СУИБ и подтверждающие сертификаты style_emoticons/default/smile3.gif

Для публикации сообщений создайте учётную запись или авторизуйтесь

Account

Navigation

Поиск

Поиск

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.