22 сентября, суббота 11:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Требуется помощь по созданию системы ИБ на крупном предприятии.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Требуется помощь по созданию системы ИБ на крупном предприятии.

    Здравствуйте.
    Руководство поставило задачу разобраться с основными принципами ИБ, найти информацию по стандартизации, найти документацию, в общем плавно подходить к созданию комплексной системы ИБ.
    После поисков натолкнулся на ваш форум, где достаточно много информации, как мне кажется очень полезной и необходимой для решения данной задачи.
    Поэтому хочу обратиться к вам с просьбой помочь с основными моментами.
    Я так понимаю, существует ФСТЭК, которая стандартизирует и аттестует систему ИБ. Соответственно есть нормативные документы, которые описывают необходимые действия для соответствия её стандартам.
    Есть стандарт 27001, как я понял больше коммерческий, но всё же тоже достаточно применимый к ИБ.
    Есть стандарт Банка России.
    И ещё куча всяких, но я перечислил, по моему мнению, те по которым есть нормальная документация и можно, даже если не сертифицироваться, то хотя бы подтянуть систему ИБ до необходимого руководству уровня.
    И у меня есть вопрос: что на самом деле больше применимо к моей ситуации? Какой лучше путь выбрать и с чего начать?
    Заранее благодарен всем за помощь и надеюсь на понимание, всё-таки мы все когда-то начинали с 0.

  • #2
    ) Я бы вам посоветовал сперва определиться с вопросом "КТО МЫ(ВЫ)" - ИМХО от ответа на этот вопрос и будет понятно- какую систему ИБ Вам нужно строить и нужно ли Вам сертифицироваться)))
    (к примеру если Вы финансовая организация- тогда см Стандарт Банка России и тд.;если Вы относитесь к органам гос.власти или к муниципалам- тогда см СТР-К и тд.;если вы относитесь к топливно-энергетической сфере деятельности + есть доля государства тогда снова СТР-К + сертификация, а если Вы "Макдональдс" какой-нибудь- то тогда могут быть и другие варианты))
    Мы продолжаем делать то, что мы уже много наделали

    Комментарий


    • #3
      Какой лучше путь выбрать и с чего начать?
      имхо Начать следует с изучения "мат. части" - с самообразования. Книги + курсы по ИБ + общение со специалистами.

      Комментарий


      • #4
        "если вы относитесь к топливно-энергетической сфере деятельности + есть доля государства" - самое то.
        СТР-К - СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ
        ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ?
        Может кто-нибудь поделится документом в последней версии, для ознакомления? Я так понимаю то СТР-К вводила гостехкоммисия, которая сейчас называется ФСТЭК. И которая регламентирует положения по информационной безопасности ГОСТ Р ИСО/МЭК 15408-1-2002. По крайне мере у них на сайте по СТР-К ничего не сказано.
        Т.е. в моём случае читать документы, регламенты и госте с ФСТЭКа?

        Комментарий


        • #5
          Присоединяюсь к совету Жоржа: если вам нужен совет по делу, дайте чуток информации о себе.

          Если вы орган государственной власти или организация, подведомственная такому органу, вам придется следовать рекомендациям СТР-К. Ссылка на текст есть в разделе про стандарты, этот текст, вроде бы, не сильно отличается от последней официальной публикации. Официальную публикацию вы можете получить, обратившись территориальное управление ФСТЭК по вашему территориальному округу. Документ ДСП, поэтому на сайте он не упоминается, но дежурный вам все объяснит. Процедура получения занимает около месяца (по крайней мере, в ЦФО). Начинать лучше с СТР-К и РД "Концепция защиты СВТ и АС от НСД к информации". Если вам повезло, и вы не госорган и не подведомственная организация, глубоко вздохните и расслабьтесь - вы избавлены от очень большого и бессмысленного геморроя ISO 15408 вам не понадобится ни при каких обстоятельствах (у него очень узкое применение), так что он вам не нужен.

          Стандарт Банка России применим к банкам и кредитным организациям. Не то, чтобы он был очень полезеным, но ему приходится соответствовать. Остальным организациям он бесполезен.

          Стандарты ISO 27000 полезны, но чтобы получить от них какую-то практическую отдачу от вас потребуется достаточно глубокое понимание того, как должна быть организована работа по обеспечению ИБ. Так что сейчас вы, к сожалению, ими воспользоваться не сможете.

          Я бы вам посоветовал начать с ISO 13335 (особенно полезны части 1 и 3) и ISO 17799. Первый даст вам представление о том, чем руководствоваться, в торой - о тех направлениях, в которых придется работать. Единственное - не нужно считать их догмой, просто постарайтесь понять логику авторов.

          Несмотря на свои очень негативные отзывы о книге Домарева, рекомендую ее почитать. При массе недостатков у нее есть один положительный момент: она перечисляет почти все механизмы ИБ, которые можно применять для защиты от тех или иных угроз. Опять таки, не стоит относиться к его рекомендациям как к догме, просто имейте в виду, что такие механизмы существуют и их можно использовать.

          Ну и в случае чего обращайтесь Пофлудить на тему ИБ мы завсегда рады

          Комментарий


          • #6
            В нашем форуме есть прикрепленная тема "Стандарты и методики по ИБ (файлы, ссылки, поиск)" - в которой есть искомые Вами документы))- а вообще лучше бы Вам запросить этот документ из "первоисточника")
            Мы продолжаем делать то, что мы уже много наделали

            Комментарий


            • #7
              2 malotavr:
              Спасибо за развёрнутый ответ. буду читать и изучать!

              Комментарий


              • #8
                СТР-К есть здесь
                Последний раз редактировалось box_roller; 27.10.2008, 22:47. Причина: Правила банковского форума, п.13

                Комментарий


                • #9
                  SilentReal

                  Открытое письмо собственникам доменов, обладателям информационных ресурсов, размещаемых на них, и пользователям сети «Интернет»

                  В ходе мониторинга сети «Интернет» отмечены факты размещения на сайтах сети общего пользования документов, содержащих информацию ограниченного доступа, разработанных в целях обеспечения безопасности и защиты информации ограниченного доступа.
                  Обращаем Ваше внимание на то, что размещение в открытой сети "Интернет" документов, содержащих информацию ограниченного доступа, недопустимо и влечёт за собой меры ответственности, предусмотренные законодательством Российской Федерации, вплоть до лишения лицензий на осуществление основного вида деятельности.
                  Заместитель директора ФСТЭК России
                  А.Гапонов

                  Комментарий


                  • #10
                    Опять заместитель?

                    Комментарий


                    • #11
                      VSB Опять заместитель?

                      Ну тут это некритично - обычное информационное письмо

                      Комментарий


                      • #12
                        VSB
                        Опять заместитель?
                        Тем более, что это обращение висит там уже года 3.

                        Комментарий


                        • #13
                          чему тут удивляться...
                          ФСТЭК принял организационные меры по защите информации, ограниченного доступа.
                          Да пребудет с тобой Сила!

                          Комментарий


                          • #14
                            Turkish ФСТЭК принял организационные меры по защите информации, ограниченного доступа и являющейся собственностью государства
                            ИМХО, это немаловажное добавление

                            Комментарий


                            • #15
                              естесственно
                              так как законодательно информацию должен защищать ее собственник
                              Да пребудет с тобой Сила!

                              Комментарий


                              • #16
                                Turkish так как законодательно информацию должен защищать ее собственник

                                Или владелец? Собственником моих ПДн являюсь я, а защищать их обязан владелец ПДн ;-)

                                Комментарий


                                • #17
                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                  Или владелец?
                                  Тогда уж каждый обладатель, по своему усмотрению, но с обязательным выполнении требований по защите, установленных законодательством

                                  Комментарий


                                  • #18
                                    деятельность по защите информации также должна обеспечиваться и той стороной кому она передается:
                                    1. на условиях соглашения о конфиденциальности, если собственник сам определил информацию как таковую,
                                    2. или в обязательном порядке согласно действующему законодательству - если государство определило, что такая информация подлежит защите (независимо от того, кто является ее собственником (в случае с ПДн) или создателем, или владельцем).

                                    Так что, чтобы защищать информацию необязательно быть ее собственником или владельцем.

                                    ФСТЭК же (как орган государства) является представителем собственника (то есть самого государства) по отношению к той информации, которую он защищает (своим открытым письмом) - это его обязанность.
                                    естесственно
                                    так как законодательно информацию должен защищать ее собственник

                                    этим сообщением я всего лишь определил почему это делает именно ФСТЭК.
                                    СТР-К (возможная публикация которого стала предметом дискуссии), в дополнение ко всему, является вообще непосредственным творением ФСТЭК.
                                    Да пребудет с тобой Сила!

                                    Комментарий


                                    • #19
                                      Turkish
                                      СТР-К (возможная публикация которого стала предметом дискуссии), в дополнение ко всему, является вообще непосредственным творением ФСТЭК.
                                      На самом деле он давно уже опубликован у Ярочкина В.И. в книге "Информационная безопасность"...

                                      Комментарий


                                      • #20
                                        Kutyrs
                                        то что можно делать другим, вовсе не означает, что это же можно делать и Вам.
                                        Тем более, если неизвестно кто такой господин Ярочкин В.И. и какие у него взаимоотношения с контролирующими органами...
                                        Да пребудет с тобой Сила!

                                        Комментарий


                                        • #21
                                          Turkish кто такой господин Ярочкин В.И.

                                          Достаточно известная персона. Правда, всю жизнь занимался техническими каналами утечки ;-) И работал, преимущественно, по линии МО ;-)

                                          Комментарий

                                          Пользователи, просматривающие эту тему

                                          Свернуть

                                          Присутствует 1. Участников: 0, гостей: 1.

                                          Обработка...
                                          X