Проект по информационной безопасности

[Vinni]

Думаю, что для более конструктивной беседы (чтобы не мешались в одну кучу хакеры, наезды власти и т.д.) уважаемому Andy_J надо явно озвучить список значимых угроз (с агентами угроз уже понятно - это свои сотрудники style_emoticons/default/smile10.gif ).

А наличие 9001 (и как следствие определенного объема документов, описывающих бизнес-процессы) полезно только для предпроектного обследования.

 

В Петербурге ИМХО можно посоветовать только Диджитал Секьюрити (http://www.dsec.ru/) Ильи Медведовского.

Он может и тест на проникновение провести (абсолютно согласен с уважаемым Loo, что нужно знать, как тебя могут "поиметь" style_emoticons/default/smile19.gif ) .

 

Но все предложенные программы контроля за утечками КТ надо будет администрировать и написанные бумаги надо будет кому-то выполнять style_emoticons/default/smile17.gif

Как говорится "гладко было на бумаге, да забыли про овраги..." style_emoticons/default/smile1.gif

 

А ведь у вас ИТ-шники работают, которые могут обойти все разработанные и предложенные меры защиты, а не "офисный планктон"...

 

[Vinni]

Не...ничего не смешалось...одно без другого жить не может...только как правило некоторые товарищи (особенно АТшники) почему то вдруг подумали, что ИБ это только компьютеры...ну в лучшем случае еще технические каналы утечки информации...

style_emoticons/default/smile20.gif "Информация - это информация" (Айра Винклер).

Кстати, почитайте его книги про промышленный шпионаж (там и психология, и орг. меры и программы защиты). Настоятельно рекомендую style_emoticons/default/smile7.gif

[Vinni]

что надо было сделать и что не было сделано ? style_emoticons/default/smile14.gif

 

-----------------

SANS NewsBytes

 

--Five Sentenced for Stealing Wireless Broadband Technology

(October 22, 2007)

The Seoul Central District Court has sentenced five engineers (all

employees of Posdata) for their roles in an intellectual property theft

scheme. The researchers stole information about the WiBro

third-generation global standard wireless broadband technology from

Posdata and passed it to another company they had established in the US.

Posdata has reportedly spent more than US $80 million to develop the

WiBro platform.

http://english.chosun.com/w21data/html/new...0710220008.html

http://www.cellular-news.com/story/26856.php

-------------------------------------------

[Toparenko]

А что нужно на самом деле?

Мда... Как все запущено...

Сформировать бюджет,

Вот в рамках данного бюджета (а не рисков и их ранжирования) и будет сделана СИБ (система информационной безопасности)

найти достойного исполнителя,

Самый тяжелый вопрос...

фиксировать цены, скорректировать бюджет.

Безопасность - это процесс, а не результат (с)

 

Вы видимо так и не прочитали ИСО/МЭК 27001

Далее исполнитель:

 

• надлежащим образом реализует комплекс работ по тестированию композиции БП компании на соответствие требованиям ISO 17799

• выполнит комплекс работ по доведению информационных систем компании до требуемой кондиции

• передаст по акту результаты решения для сопровождения соответствующим (внутренним) службам компании.

Так и не понял: есть ли "соответствующая (внутренняя) служба компании" или этим будут заниматься те, кто как и Вы будет говорить: "я не являюсь прямым специалистом в информационной безопасности, а мои познания в ИБ ограничиваются знакомством со стандартами ISO 17799, BS 7799. Кое-что читал о серии ISO27000- ISO27011. Однако я предельно загружен текущей работой, что решительно не позволяет мне полноценно погрузиться в увлекательный мир бесконечной череды семинаров по ИБ, основной темой которых являются различные парафразы упомянутых выше стандартов, помноженные на дюжину страшилок «из реальной практики» ведущего."

Планируется проконтролировать результат деятельности исполнителя посредством внешнего аудитора.

Здесь есть следующие риски влияющие на полноту СИБ и приоритетность реализации ее подсистем:

- конфликт между внешним аудитором и исполнителем по стратегии/тактике СИБ

- сговор между внешним аудитором и исполнителем по стратегии/тактике СИБ

- низкая квалификация/непонимание Ваших задач со стороны внешнего аудитора или неполная информированность Вами внешнего аудитора.

ИМХО, не очень мудрено. Проводить  подобные проекты силами внутренних консультантов – неблагодарное дело, эта практика доказала свою  порочность при внедрении большинства информационных технологий, начиная от простеньких EPM систем, и кончая монстрами класса SAP R3. Это просто мировая практика, которая, впрочем, подтверждается моим личным опытом.

35407[/snapback]

Что Вы понимаете под "Проводить подобные проекты силами внутренних консультантов"?

Если полное создание СИБ "под ключ" - естественно справиться с этим Вам будет не под силу (на это надо иметь гораздо больший бюджет).

Если определение стратегии создания СИБ, очередности реализации подсистем и контроля реализации этих подсистем - IMO это обязательно должна делать внутренняя служба ИБ.

 

Кстати: стандарты ISO 17799/BS 7799/ISO27000- ISO27011 определяют не саму систему информационной безопасности (СИБ), а систему менеджмента (управления) защиты информации (информационной безопасностью) (СМЗИ/СУИБ)...

[Тень]

IT это вспомогательный инструмент, иногда играющий важное значение в бизнесе, но никогда не играющий первостепенное. Является частью общей системы информационной безопасности. Не больше, но и не меньше. Я кончил :о))

35419[/snapback]

 

Как-то плохо кончил... :) Типа целью бизнеса ИТ являться не межет, только спекуляция...