Igor39 Опубликовано 5 сентября, 2007 Автор Поделиться Опубликовано 5 сентября, 2007 Учите историю... Т.н. "СССРовская" школа вышла из наработок спецслужб СССР и ушла в бизнес только из-за развала этих спецслужб. На счет истории: я и сам бы смог многое рассказать... style_emoticons/default/smile3.gif Взять хотя бы, подтверждающую цитату историю стандарта шифрации. Но я о том, что есть в открытых источниках и, в первую очередь, речь о нацстандартах. И, если уж обращаться к истории, то в СССР, когда предприятия были государственными, вопросами ИБ (AKA сохранением гостайны) и занималось Государство. А становление ИБ коммерческих организаций шло благодаря отставникам из спецслужб, которые, помня свои ведомственные приказы, вводили аналогичные требования уже на новой работе. Порой "шифруясь" так, что запускали на заводах свою "ОСу" style_emoticons/default/smile14.gif Т.н. "западная" школа - это метод проб и ошибок западного бизнеса, где физической безопасностью начали заниматься юристы, а компьютерной - IT-шники (наработки западных спецслужб в бизнес попадают крохами). Тем самым, начав открыто над этим работать, обеспечили действительную, а не мнимую комплескснусть. Кроме того, "умные учатся на чужих ошибках, дураки - на своих". Подучившись же они и выпустили "Лучшие практики"; а у нас же, сначала - "надо своё", и лишь сейчас начали присматриваться к опыту других. style_emoticons/default/smile10.gif ЗЫЖ Вопрос не в том, чьи методики лучше, а в самом процессе их выработок. style_emoticons/default/smile2.gif Основной принцип т.н. "СССРовской" школы - это комплексное решение задач защиты.31774[/snapback] Уточню: сначала комплексность конкретной задачи (что потом и опубликовано принятием того или иного нацстандарта). Комплексность общей задачи реально пока реализована только при работе с гостайной (особенно в спецслужбах и правоохранительных органах), путем издания ведомственных приказов и инструкций по различным вопросам, тем самым обеспечивая решения в области ИБ, построив т.н. "систему с полным перекрытием". И, чтобы не быть голословным, посмотрите-ка наши нацстандарты по ИБ (не рекомендации, а именно стандарты): там, где "ГОСТ" и "ГОСТ Р" - решение конкретной задачи, "ГОСТ МЭК" и "ГОСТ Р ИСО/МЭК" - комплексное решение круга задач. Ссылка: на iFolder или на DepositFiles. Пароль на архив: 6hs9bKs. (8 символов) Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 5 сентября, 2007 Поделиться Опубликовано 5 сентября, 2007 Комплексность общей задачи реально пока реализована только при работе с гостайной (особенно в спецслужбах и правоохранительных органах), путем издания ведомственных приказов и инструкций по различным вопросам, тем самым обеспечивая решения в области ИБ, построив т.н. "систему с полным перекрытием". Вы сами себе противоречите: СТР-К создан был на основе СТР И, чтобы не быть голословным, посмотрите-ка наши нацстандарты по ИБ (не рекомендации, а именно стандарты): там, где "ГОСТ" и "ГОСТ Р" - решение конкретной задачи, "ГОСТ МЭК" и "ГОСТ Р ИСО/МЭК" - комплексное решение круга задач. 31837[/snapback] ГОСТ Р 51275–99, ГОСТ Р 51583–2000 и ГОСТ Р 51624–2000 никто не отменял. Т.ч. в наших стандартах есть как комплексные решения, так и решения локальных задач. Хочу напомнить, что именно "благодаря" переходу на "западные" стандарты с 2004 года у нас остаются обязательными к исполнению только те стандарты, в которых затрагивается безопасность личности - все остальное (в том числе и стандарты по ИБ) имеет рекомендательный характер и не обязательно к исполнению. Т.ч. никто не мешает Вам создать свой внутрифирменный приказ/инструкцию для построения т.н. "системы с полным перекрытием" - весь вопрос сколько это будет стоить... Согласно Закона о КТ собственник информации, составляющей КТ, сам определяет меры по ее защите/раскрытию. Т.ч. стройте хоть системы класса 1А - никто Вам в этом не будет мешать (даже если Вы окончательно забудете, что защита должна всего лишь обеспечивать превышение стоимости получения информации над стоимостью самой информации). style_emoticons/default/smile3.gif Ссылка на комментарий Поделиться на другие сайты More sharing options...
Igor39 Опубликовано 5 сентября, 2007 Автор Поделиться Опубликовано 5 сентября, 2007 ГОСТ Р 51275–99, ГОСТ Р 51583–2000 и ГОСТ Р 51624–2000 никто не отменял. Ну, и что они дают? BTW, последние два - ДСП, ну, ссылается на них ФСТЭК, а ФАТРМ-то посылает далеко style_emoticons/default/smile3.gif Хочу напомнить, что именно "благодаря" переходу на "западные" стандарты с 2004 года у нас остаются обязательными к исполнению только те стандарты, в которых затрагивается безопасность личности - все остальное (в том числе и стандарты по ИБ) имеет рекомендательный характер и не обязательно к исполнению. Согласно Закона о КТ собственник информации, составляющей КТ, сам определяет меры по ее защите/раскрытию.31847[/snapback] Ага, а государство берет на себя обязательство помочь ему в этом и нести ответственность за адекватность "рекомендаций" style_emoticons/default/smile3.gif См. "Доктрину информационной безопасности РФ" Ну, и много изменилось за 7 лет? Явно - пока только федеральные законы style_emoticons/default/smile2.gif Т.ч. никто не мешает Вам создать свой внутрифирменный приказ/инструкцию для построения т.н. "системы с полным перекрытием" - весь вопрос сколько это будет стоить... Ну, дык, см. пост "Igor39 @ Sep 4 2007, 16:49". А так - это ИМХО флуд. style_emoticons/default/smile18.gif Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 5 сентября, 2007 Поделиться Опубликовано 5 сентября, 2007 Дак так и не понял я :о(( СУИБ у Вас включает в себя СУ инцидентами или "Систему технической (контр) разведки ? Смотрю в самый первый Ваш пост в теме. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Toparenko Опубликовано 5 сентября, 2007 Поделиться Опубликовано 5 сентября, 2007 Ну, и что они дают? BTW, последние два - ДСП, ну, ссылается на них ФСТЭК, а ФАТРМ-то посылает далеко :smile3: IMO это ФАТРМ/Госстандарт ссылается на РД ФСТЭК/Гостехкомиссии Ага, а государство берет на себя обязательство помочь ему в этом и нести ответственность за адекватность "рекомендаций" :smile3: См. "Доктрину информационной безопасности РФ" Ну, и много изменилось за 7 лет? Явно - пока только федеральные законы :smile2: Так Закон Вам дал обширнейшее поле деятельности (и почти ничем не оградил его), а Вы еще и подзаконные акты (ограждающие "поле") хотите, чтоб за Вас сделали... Ну, дык, см. пост "Igor39 @ Sep 4 2007, 16:49". А так - это ИМХО флуд. :smile18: 31861[/snapback] 17:49 (мск)? Интересно: Вы действительно верите в возможность сделать комплексную систему информационной безопасности "нахаляву", на открытом форуме и не зная конкретного объекта/критических рисков/циркулирующей информации/бюджета? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.