18 июня, вторник 19:45
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Документ Политика ИБ - каким он должен быть?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Хорошо. Примем Вашу точку зрения за аксиому. Теперь рассмотрим фрагмент документа, предложенный alex.a.fedorov:
    Основными целями обеспечения информационной безопасности АКБ «БАНК» следует считать:
    -обеспечение руководства Банка достоверной, полной и актуальной предметной информацией, необходимой для принятия обоснованных решений;
    -обеспечение приемлемого уровня рисков использования информационных активов Банка;
    -защиту информационных активов Банка от разглашения, утечки и несанкционированного доступа, обеспечение их целостности и доступности в соответствии с бизнес-целями Банка, требованиями российского законодательства и нормативно-технической базы;
    -защиту информационных и телекоммуникационных систем Банка от преступлений, совершаемых с использованием уязвимостей информационных технологий;
    -создание системы контроля информационной безопасности и снижения уровня информационных угроз.

    Основной задачей обеспечения информационной безопасности Банка является - создание комплексной системы защиты и механизмов своевременного выявления, прогнозирования, локализации и блокирования угроз безопасности, оперативного реагирования на проявления негативных тенденций в использовании информационных активов Банка.

    Что-то у меня не стыкуется с осмысливанием этого фрагмента и предложенной аксиомой.
    Если множество целей порождают только одну задачу, то:
    1.либо цели ложные
    2.либо задачи не расписаны.

    Комментарий


    • Сообщение от Идущий Посмотреть сообщение

      1.либо цели ложные
      2.либо задачи не расписаны.
      И то и то наблюдается.

      1. ЦЕЛИ

      -создание системы контроля информационной безопасности и снижения уровня информационных угроз.

      Курсивом выделена задача, пробравшаяся в формулировку цели.

      2. ЗАДАЧИ

      КМК автор постулирует, что все цели могут быть достигнуты в рамках решения одной единственной задачи (основной!)

      Основной задачей обеспечения информационной безопасности Банка является - создание комплексной системы защиты и механизмов своевременного выявления, прогнозирования, локализации и блокирования угроз безопасности, оперативного реагирования на проявления негативных тенденций в использовании информационных активов Банка.

      Кривовато, но подразумевает, что обычно задачи образуют иерархию (точнее описываются иерархической структурой).

      МЕТАФОРА:
      Цель - место (конкретная область в фазовом пространстве (и времени), что и отличает цели от "розовых мечт"!), в котором мы хотим оказаться. Задачи - путь (совокупность участков пути, с промежуточнами стоянками), который надо пройти, чтобы попасть в Цель из нашего нынешнего местонахождения. Функции - снаряжение, необходимое конкретному путешественнику для успешного похода.
      Как-то так.

      Комментарий


      • Сообщение от Myp3a Посмотреть сообщение
        И то и то наблюдается.

        1. ЦЕЛИ

        -создание системы контроля информационной безопасности и снижения уровня информационных угроз.

        Курсивом выделена задача, пробравшаяся в формулировку цели.

        2. ЗАДАЧИ

        КМК автор постулирует, что все цели могут быть достигнуты в рамках решения одной единственной задачи (основной!)

        Основной задачей обеспечения информационной безопасности Банка является - создание комплексной системы защиты и механизмов своевременного выявления, прогнозирования, локализации и блокирования угроз безопасности, оперативного реагирования на проявления негативных тенденций в использовании информационных активов Банка.
        Каким образом Вы решили, что это задача пробралась в цели, а не наоборот?

        И как определить, что "обеспечение руководства Банка достоверной, полной и актуальной предметной информацией, необходимой для принятия обоснованных решений" является действительно целью, а не задачей?

        Комментарий


        • И еще вопрос: а все ли цели перечислены? Как это определить?

          Комментарий


          • Сообщение от Идущий Посмотреть сообщение
            И еще вопрос: а все ли цели перечислены? Как это определить?
            Никак. Цели зависят только от вас.

            Комментарий


            • Сообщение от Идущий Посмотреть сообщение
              Каким образом Вы решили, что это задача пробралась в цели, а не наоборот?
              Только из-за употребления оборота о "создании системы" в разделе описания задач ниже по тексту документа.

              Сообщение от Идущий Посмотреть сообщение
              И как определить, что "обеспечение руководства Банка достоверной, полной и актуальной предметной информацией, необходимой для принятия обоснованных решений" является действительно целью, а не задачей?
              Декомпозиция исходной ПРОБЛЕМЫ на цели, задачи, функции вещь условная (более того - достаточно субъективная). Это только способ нарисовать некую схему для эффективных и успешных ДЕЙСТВИЙ при решении ПРОБЛЕМЫ, а не открытия онтологической ИСТИНЫ, устанавливающей "как оно там есть на самом деле". Но при творческом рисовании такой схемы мы должны следовать требованиям логической непротиворечивости, экономии, понятности и безусловной полезности для решения ПОЛЬЗОВАТЕЛЕМ исходной (конечной) ПРОБЛЕМЫ.

              Комментарий


              • Сообщение от Myp3a Посмотреть сообщение
                Декомпозиция исходной ПРОБЛЕМЫ на цели, задачи, функции вещь условная (более того - достаточно субъективная). Это только способ нарисовать некую схему для эффективных и успешных ДЕЙСТВИЙ при решении ПРОБЛЕМЫ, а не открытия онтологической ИСТИНЫ, устанавливающей "как оно там есть на самом деле". Но при творческом рисовании такой схемы мы должны следовать требованиям логической непротиворечивости, экономии, понятности и безусловной полезности для решения ПОЛЬЗОВАТЕЛЕМ исходной (конечной) ПРОБЛЕМЫ.
                Что-то в этих рассуждениях меня несколько смущает. Например утверждение: "Это только способ нарисовать некую схему для эффективных и успешных ДЕЙСТВИЙ при решении ПРОБЛЕМЫ, а не открытия онтологической ИСТИНЫ, устанавливающей "как оно там есть на самом деле"."
                Если не устанавливать "как оно там есть на самом деле" в отношении защиты информации от НСД, НРД и т.д., то зачем создавать документ с таким громким именем "Политика информационной безопасности"?
                Требуется писать исполнимый документ, а не отмазку перед ЦБ. Или я ошибаюсь?

                Комментарий


                • Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Никак. Цели зависят только от вас.
                  Может быть Вы и правы, только слабо в это верится.
                  ЦБ издал группу СТО БР ИББС - факт от меня не зависящий. Этот комплект документов не полон, но уж какой есть. Создан на основе международных стандартов. Это тоже от меня не зависит. При попытке использовать СТО БР ИББС "в лоб" возникает ряд вопросов на которые требуется дать ответы, иначе не напишешь документа.
                  Написание документа зависит от меня. А вот требование его создать - чужое. Тогда и цели - чужие.
                  Собственно оттуда и вопрос - все ли цели учтены?

                  Комментарий


                  • Сообщение от Идущий Посмотреть сообщение
                    При попытке использовать СТО БР ИББС "в лоб" возникает ряд вопросов на которые требуется дать ответы, иначе не напишешь документа.
                    Написание документа зависит от меня. А вот требование его создать - чужое. Тогда и цели - чужие.
                    Собственно оттуда и вопрос - все ли цели учтены?
                    А что, разве в СТО БР ИББС или стандартах, на основе которых он сделан есть что-то, что можно сделать "в лоб"? Насколько я помню, они все предписывают организации самостоятельно ставить себе цели.

                    "Никто не даст нам избавленья..." (c)

                    Комментарий


                    • Сообщение от malotavr Посмотреть сообщение
                      Насколько я помню, они все предписывают организации самостоятельно ставить себе цели.
                      Типа "Вам ни кто не ограничивает выбор - все зависит только от Вас самих".
                      Только реального выбора не существует. 1.0-2008 называется "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". В каком месте этого названия Вы увидели возможность выбирать? Может в 1.2-2009 предоставлена такая возможность для обязательных показателей?
                      Есть реальный пример, который предложил alex.a.fedorov. Можно, конечно, спрятаться без обсуждения - мол он придумал, ему и отвечать.
                      Однако имеется еще несколько вариантов. Один из них - все же обсудить предложенные цели.

                      Комментарий


                      • Сообщение от Идущий Посмотреть сообщение
                        ....зачем создавать документ с таким громким именем "Политика информационной безопасности"?
                        Требуется писать исполнимый документ, а не отмазку перед ЦБ. Или я ошибаюсь?
                        Собственно, ответы на такого типа вопросы и определяют цели (Ваши и вашей организации). Кстати "удовлетворить требованиям СТО БР ИББС" - это вполне достойная и "измеримая" цель. Правда достаточно высокоровневая.

                        Комментарий


                        • Сообщение от Идущий Посмотреть сообщение
                          1.0-2008 называется "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения". В каком месте этого названия Вы увидели возможность выбирать?
                          Не "возможность выбирать", а обязанность самостоятельно ставить цели и планировать их достижение. Без этого вы не сможете реализовать некоторые групповые показатели - те же М26-М28, да и из остальных выйдет не "обеспечение информационной безопасности", а полная лажа.

                          Комментарий


                          • Сообщение от Myp3a Посмотреть сообщение
                            Собственно, ответы на такого типа вопросы и определяют цели (Ваши и вашей организации). Кстати "удовлетворить требованиям СТО БР ИББС" - это вполне достойная и "измеримая" цель. Правда достаточно высокоровневая.
                            Забыли еще один документ дописать: ФЗ-152.
                            И надо полагать, что ни у кого, кроме меня, такие вопросы не возникают. Уговорили.
                            Тогда в какой документ следует запихнуть цель "удовлетворить требованиям СТО БР ИББС", если, как Вы пишете, "Политика ИБ" уровнем для этого не подходит?
                            Да и не совсем правильно, мне так кажется, формулировать цель таким образом - это как раз цель "для отмазки".

                            Комментарий


                            • Сообщение от malotavr Посмотреть сообщение
                              Не "возможность выбирать", а обязанность самостоятельно ставить цели и планировать их достижение. Без этого вы не сможете реализовать некоторые групповые показатели - те же М26-М28, да и из остальных выйдет не "обеспечение информационной безопасности", а полная лажа.
                              Можно было бы с Вами согласиться, да только как-то не получается. Я еще не встречался с ситуацией, когда не объявленная цель или цели имеют явно прописанные условия исполнения. Собственно наличие условий изначально предполагает "решение задачи", а не формулирование "цели".

                              Комментарий


                              • Сообщение от Идущий Посмотреть сообщение
                                Можно было бы с Вами согласиться, да только как-то не получается. Я еще не встречался с ситуацией, когда не объявленная цель или цели имеют явно прописанные условия исполнения. Собственно наличие условий изначально предполагает "решение задачи", а не формулирование "цели".
                                Вы не встречались? Да ладно, в каждой первой компании в политике безопасности прописана цель "обеспечить информационную безопасность", а к ней - туева хуча задач, которые для этого требуется решить. В итоге эти задачи решены (организован учет доступа в интернет, записываются серийники всех вносимых ноутбуков, в каждом проходе аж по три шлюза поставлено и т.п.), а безопасностью и не пахнет, поскольку что такое эта абстрактная "безопасность" - непонятно.

                                В итоге люди знают, какие задачи они решают, но слабо представляют зачем. А если бы цели для себя определили, причем не общими бессмысленными словами, а вполне простыми, выяснилось бы, что половина этих "задач" на фиг никому не сдалась.

                                Комментарий


                                • Сообщение от malotavr Посмотреть сообщение
                                  Вы не встречались? Да ладно, в каждой первой компании в политике безопасности прописана цель "обеспечить информационную безопасность", а к ней - туева хуча задач, которые для этого требуется решить. В итоге эти задачи решены (организован учет доступа в интернет, записываются серийники всех вносимых ноутбуков, в каждом проходе аж по три шлюза поставлено и т.п.), а безопасностью и не пахнет, поскольку что такое эта абстрактная "безопасность" - непонятно.

                                  В итоге люди знают, какие задачи они решают, но слабо представляют зачем. А если бы цели для себя определили, причем не общими бессмысленными словами, а вполне простыми, выяснилось бы, что половина этих "задач" на фиг никому не сдалась.
                                  Вы правы на 99%. Так и написан документ, который взят за основу обсуждения. Собственно потому и задаю вопросы умным людям(ударение ставьте как нравится). К сожалению, полученные ответы не в состоянии понять так, что бы мог сдвинуться с точки.
                                  Однако, внутри сидит одно чувство: не могут документы по заданной теме (созданные на одной и той же основе) быть разнообразны до степени прямого принципиального противоречия друг другу.
                                  Мне еще не понятно, почему при таком состоянии вопроса попытки его решить обращаются в ничто.

                                  Комментарий


                                  • Сообщение от Идущий Посмотреть сообщение
                                    Вы правы на 99%. Так и написан документ, который взят за основу обсуждения.
                                    Ну не может он быть написан по другому - цели-то у всех разные. Одному надо соответствовать SOX, другому - привести затраты на ИБ к показателю 200 долларов на одного сотрудника, третьему - снизить число инцидентов до 3 в квартал, четвертому - получить сертификат ISO 27001. Цели разные и задачи разные и методы оценки достижения цели будут разные. У alex.a.fedorov документ, который он делал для своей организации и который его организацию устроил. Он сделал благое дело - поделился этим документом с общественностью. Теперь дело за вами. Подходит документ - доделывайте под себя (с нуля уже писать не надо). Не подходит - значит увы...

                                    Комментарий


                                    • А цели может вам сказать только руководство бизнеса. Ради чего-то оно вас нанимало и создавало службу. Вот это и есть цель в текущий момент. Если "соответствовать требованиям ЦБ". Это тоже цель ;-) Уточнить каким требованиям и уже можно выстраивать спектр задач, достигающих цель, выстраивать процессы, вырабатывать методы оценки достижения цели, определять реперные точки и т.д.

                                      Комментарий


                                      • Сообщение от Идущий Посмотреть сообщение
                                        К сожалению, полученные ответы не в состоянии понять так, что бы мог сдвинуться с точки.
                                        Однако, внутри сидит одно чувство: не могут документы по заданной теме (созданные на одной и той же основе) быть разнообразны до степени прямого принципиального противоречия друг другу.
                                        Проблема в том, что даются абстрактные ответы на абстрактные вопросы. Даже документ Алексея написан очень абстрактно.

                                        Давайте рассмотрим тот же вопрос на примере маленькой психи... компании, в котороя я имею честь работать. Если бы нам зачем-то пришлось писать политику безопасности, в ней было бы всего три цели (в порядке уменьшения приоритета):
                                        • обеспечить бесперебойное функционирование и целостность коррпоративного Web-портала
                                        • обеспечить бесперебойную связь с заказчиками и удаленно работающими сотрудниками
                                        • обеспечить бесперебойную работу сотрудников в офисе


                                        Портал стоит на первом месте в силу специфики нашей работы - дефейс сайта гарантированно приведет к серьезному финансовому ущербу, поскольку поставит под сомнение качество наших услуг и заявленные свойства основного нашего продукта.

                                        Бесперебойная связь с заказчиками (техническая поддержка) и удалеными пользователями (особенно работающими из дома или на площадке заказчика) - понятно, Телефон - хорошо, но нужно и файлики кидать.

                                        Работоспособность офисных компов - хорошо, но актуально только для бухгалтерии и кадров, остальные пользователи вполне способны решить технические проблемы самостоятельно.

                                        Коммерческая тайна нам не актуальна, поскольку:
                                        1. этими сведениями располагают 4-5 человек, которые прекрасно умеют защпщать эти сведения без посторонней помощи
                                        2. получи вы эти сведжения, воспользоваться ими вы все равно не сможете

                                        Аналогично нам практически неактуальны защита персональныз данных, защита от внутреннего нарушителя и т.п.

                                        А теперь сравните эту ситуацию с каким-нибудь банком

                                        Даже если ограничиться только банками, все равно цели могут очень различться. Инвестиционному банку мало интересна защита персональных данных и платежного процесса, зато он очень чувствителен к утечкам информации о сделках (даже о самих фактах отдельных сделок). Банк, занимающийся микрокредитами населению, не очень интересуется утечками финансовой информации вообще, но ему очень критична защита ПД, особенно из целостность.

                                        Соответственно, разница в приоритетах может быть настолько велика, что малозначимые цели даже не попадут в политику безопасности - хотя бы для того, чтобы не распылять ресурсы. В итоге у двух банков будут политики с разными целями и, соответственно, разными задачами. И указать эти цели могут только сами банки.
                                        Последний раз редактировалось malotavr; 07.09.2009, 21:51.

                                        Комментарий


                                        • Благодарю Вас за ответы.
                                          Алексей Лукацкий, вот Вам наименование нового мифа: "Цели организации безопасности может сказать только руководство бизнеса". Вы уж извините меня, но как-то не получается у меня "убедиться" предложенными Вами и malotavr доводами. Ну сами посудите:
                                          1. защите подлежит информация и среда ее обитания - утверждение действительное для всех.
                                          2. информация обладает одинаковым набором свойств (конфиденциальность и т.д.) - так же действительно для всех.
                                          Эти штучки у все одинаковы.
                                          То, на что указал malotavr - 3 цели - сводятся к акценту на защиту отдельных свойств. Он прав в отношении установки акцента (у каждого свой), но от информации и ее свойств спрятаться/отказаться ему не удастся.

                                          Комментарий


                                          • Сообщение от Идущий Посмотреть сообщение
                                            Алексей Лукацкий, вот Вам наименование нового мифа: "Цели организации безопасности может сказать только руководство бизнеса". Вы уж извините меня, но как-то не получается у меня "убедиться" предложенными Вами и malotavr доводами.
                                            Скорее другой миф - "Безопасность - это чисто технологическая задача, направленная на обеспечение конфиденциальности, целостности и доступности" ;-)

                                            Сообщение от Идущий Посмотреть сообщение
                                            То, на что указал malotavr - 3 цели - сводятся к акценту на защиту отдельных свойств. Он прав в отношении установки акцента (у каждого свой), но от информации и ее свойств спрятаться/отказаться ему не удастся.
                                            Все мы люди и состоим из одних и тех же атомов. В этой эхе находятся в основном мужчины, россияне, примерно одного возраста и одного поля деятельности. Но вот цели у каждого свои (несмотря на столько общего). У одного сына в первый класс отвести, у второго дом построить, у третьего кредит отдать, у четвертого CISSP получить, у пятого...

                                            На уровне CIA вы действительно имеете цели примерно одинаковые. Но поднимаясь на уровень ISMS цели у вас могут уже отличаться от "соседей". А поднимаясь на уровень Governance - цели расходятся еще больше. Malotavr правильно заметил - даже для банков, но один инвестиционный, другой розничный, цели ИБ будут разные. Я добавлю. Даже для трех розничных банков, но с разными уровнями зрелости, цели будут разными. Для одного - обеспечение CIA, для другого - поддержание бизнеса (это уже другая цель), а для третьего - рост бизнеса. И достигаться это будет разными задачами. В одном случае - классика ИБ. Вы будете стремиться обеспечить 3 свойства. Во втором случае вы будете опираться на совершенно иные задачи - удержание клиентов, удовлетворенность клиентов, производительность персонала, выполнение бизнес-обязательств, быстрота реагирования на изменения бизнеса, конкурентоспособность по затратам. Т.е. акцент уже делается на другом. А в третьем и того круче ;-) - захват новых рынков, новые M&A, удовлетворенность инвесторов и акционеров, рост выручки и т.д.

                                            Но для этого надо постепенно пройти через все этапы. Перепрыгнуть сразу на последний уровень нереально. Я повторю свой давний тезис. Большинство специалистов по ИБ концентрируется на защите информации. Но бизнесу нужно совсем другое. Защиту они считают само собой разумеющейся. Бизнес хочет, чтобы "поддерживающие" подразделения превратились в "движущие", чтобы они активнее участвовали в бизнесе и достижении бизнес-целей. А для этого надо уходить из замкнутого круга технологической привязки и смотреть шире - оценивать ИБ с точки зрения бизнеса, а не технологий.

                                            Все это звучит, для кого-то глупо и нежизненно, но поверьте, что компании, пошедшие по этому пути, добились куда больше в области своей ИБ, чем "чистые" технари, зацикленные на конфиденциальности, целостности и доступности.

                                            Комментарий


                                            • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Я повторю свой давний тезис. Большинство специалистов по ИБ концентрируется на защите информации. Но бизнесу нужно совсем другое. Защиту они считают само собой разумеющейся. Бизнес хочет, чтобы "поддерживающие" подразделения превратились в "движущие", чтобы они активнее участвовали в бизнесе и достижении бизнес-целей. А для этого надо уходить из замкнутого круга технологической привязки и смотреть шире - оценивать ИБ с точки зрения бизнеса, а не технологий.

                                              Все это звучит, для кого-то глупо и нежизненно, но поверьте, что компании, пошедшие по этому пути, добились куда больше в области своей ИБ, чем "чистые" технари, зацикленные на конфиденциальности, целостности и доступности.
                                              Алексей, я заметил, что данную позицию вы везде подчеркиваете и на конференциях и на форуме и в блоге. Может быть уже настало время полностью раскрыть этот вопрос в отдельной статье или "мифе". С вашим умением владеть фактами и показывать их в нужном свете, такая статья могла бы многое прояснить для владельцев бизнеса. И может быть даже сформировать у них видение того, что же они хотят от информационной безопасности. А то ведь большинство наверное создает подразделение ИБ для галочки или защиты от хакеров =), как это не печально.

                                              Комментарий


                                              • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                Скорее другой миф - "Безопасность - это чисто технологическая задача, направленная на обеспечение конфиденциальности, целостности и доступности" ;-)
                                                Перечитайте свои статьи на эту тему и попытайтесь найти тот момент, когда Вам Бизнес явно сказал, что цель безопасности для меня (бизнеса) вот такая. Особенно в приложении к таким представителям бизнеса, как экономисты, бухгалтера и т.д. Ведь из того, что Вы писали следует только одно - Вы знакомились со всеми процессами и перерабатывали их под свою точку зрения (создание политики). И никак не наоборот -цели ставили именно ВЫ, а не "бизнес". Потому как "бизнес" понятия об этом не имел.

                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                ...На уровне CIA вы действительно имеете цели примерно одинаковые. Но поднимаясь на уровень ISMS цели у вас могут уже отличаться от "соседей". А поднимаясь на уровень Governance - цели расходятся еще больше. Malotavr правильно заметил - даже для банков, но один инвестиционный, другой розничный, цели ИБ будут разные.
                                                Я искренне полагал, что следовало углубляться/снижаться, но ни как не подниматься. И еще один ньюанс - Вы не перепутали цели Бизнеса и цели Защиты? Да какой бы бизнес ни был - ему важна непрерывность. А какие процессы должны быть "непрерывнее других" решает действительно Бизнес. Но ведь эта цель прописывается как "обеспечение непрерывности".

                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                ...Я повторю свой давний тезис. Большинство специалистов по ИБ концентрируется на защите информации. Но бизнесу нужно совсем другое. Защиту они считают само собой разумеющейся.
                                                Ну и как это согласуется с Вашим предыдущим предложением "Спросить у Бизнеса"? Если Бизнес не понимает о чем его спрашивают, т.к. это у него на уровне подсознания, чувств? И переводить в сознание не пытается?

                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                ...Бизнес хочет, чтобы "поддерживающие" подразделения превратились в "движущие", чтобы они активнее участвовали в бизнесе и достижении бизнес-целей.
                                                Типа "хоть шерсти клок"?

                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                ...А для этого надо уходить из замкнутого круга технологической привязки и смотреть шире - оценивать ИБ с точки зрения бизнеса, а не технологий.
                                                Все это звучит, для кого-то глупо и нежизненно, но поверьте, что компании, пошедшие по этому пути, добились куда больше в области своей ИБ, чем "чистые" технари, зацикленные на конфиденциальности, целостности и доступности.
                                                Вы себе смогли доказать, что защита это не только и не столько запреты? В защите этой части всего процентов 10-15.
                                                Мы с Вами уже пытались обсудить эту тему, но как-то не удалось. Я еще раз повторю "Защита - это образ жизни, а не технические меры". Но, помнится, вы тогда отверги эту точку зрения, хотя своим ответом полностью ее подтверждаете (мне так кажется, но как я понимаю - Вы снова скажете, что я не прав). И просьба перестаньте применять новые модные слова и сокращения. Мода ведь всегда проходит.

                                                Комментарий


                                                • Непрерывностью занимается и ИТ и безопасность - первые ее обеспечивают, вторые контроллируют. Вопрос:
                                                  как отразить "непрерывность" в Политике ИБ?

                                                  Комментарий


                                                  • Сообщение от Uomo Посмотреть сообщение
                                                    Алексей, я заметил, что данную позицию вы везде подчеркиваете и на конференциях и на форуме и в блоге. Может быть уже настало время полностью раскрыть этот вопрос в отдельной статье или "мифе". С вашим умением владеть фактами и показывать их в нужном свете, такая статья могла бы многое прояснить для владельцев бизнеса. И может быть даже сформировать у них видение того, что же они хотят от информационной безопасности. А то ведь большинство наверное создает подразделение ИБ для галочки или защиты от хакеров =), как это не печально.
                                                    Вы забыли его еще поросить ознакомить руководителей под роспись, а потом и проверить у них знание этого вопроса.

                                                    Комментарий


                                                    • Сообщение от Uomo Посмотреть сообщение
                                                      Алексей, я заметил, что данную позицию вы везде подчеркиваете и на конференциях и на форуме и в блоге. Может быть уже настало время полностью раскрыть этот вопрос в отдельной статье или "мифе". С вашим умением владеть фактами и показывать их в нужном свете, такая статья могла бы многое прояснить для владельцев бизнеса. И может быть даже сформировать у них видение того, что же они хотят от информационной безопасности. А то ведь большинство наверное создает подразделение ИБ для галочки или защиты от хакеров =), как это не печально.
                                                      Проблема в том, что эта позиция должна быть понятна именно ИБшникам. Владелец бизнеса слишком высоко, чтобы разбираться в таких тонкостях. Тем более, что он-то как раз крутится в бизнесе, говорит языком бизнеса и т.п. Ему менять ничего не надо. Это ИБшник должен понимать его и доносить до него свою тему понятным языком.

                                                      Комментарий


                                                      • Сообщение от Идущий Посмотреть сообщение
                                                        Перечитайте свои статьи на эту тему и попытайтесь найти тот момент, когда Вам Бизнес явно сказал, что цель безопасности для меня (бизнеса) вот такая. Особенно в приложении к таким представителям бизнеса, как экономисты, бухгалтера и т.д.
                                                        Вы не поняли. Он не говорит "цель безопасность - вот такая". Он говорит - "цель бизнеса - вот такая". И эта цель ДЛЯ ВСЕХ подразделений. Поэтому не надо себе выдумать какие-то цели - надо транслировать имеюшуюся бизнес-цель в ИБ-область.

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Ведь из того, что Вы писали следует только одно - Вы знакомились со всеми процессами и перерабатывали их под свою точку зрения (создание политики). И никак не наоборот -цели ставили именно ВЫ, а не "бизнес". Потому как "бизнес" понятия об этом не имел.
                                                        Я не ставил, я транслировал имеющуюся цель в ИБ.

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Я искренне полагал, что следовало углубляться/снижаться, но ни как не подниматься. И еще один ньюанс - Вы не перепутали цели Бизнеса и цели Защиты? Да какой бы бизнес ни был - ему важна непрерывность. А какие процессы должны быть "непрерывнее других" решает действительно Бизнес. Но ведь эта цель прописывается как "обеспечение непрерывности".
                                                        А у вас цели защиты отвязаны от целей бизнеса? А смысл? "Лебедь, рак и щука" получается.

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Ну и как это согласуется с Вашим предыдущим предложением "Спросить у Бизнеса"? Если Бизнес не понимает о чем его спрашивают, т.к. это у него на уровне подсознания, чувств? И переводить в сознание не пытается?
                                                        Спросить у бизнеса не цель ИБ, а цель бизнеса. И танцевать от нее, а не от мифической триалы КДЦ.

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Вы себе смогли доказать, что защита это не только и не столько запреты?
                                                        Смог.

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Мы с Вами уже пытались обсудить эту тему, но как-то не удалось. Я еще раз повторю "Защита - это образ жизни, а не технические меры". Но, помнится, вы тогда отверги эту точку зрения, хотя своим ответом полностью ее подтверждаете (мне так кажется, но как я понимаю - Вы снова скажете, что я не прав).
                                                        Образ жизни - это немного иная защита, та о которой Маслоу говорил. ИБ пока к этой пирамиде не относится.
                                                        А что и где я отверг?

                                                        Сообщение от Идущий Посмотреть сообщение
                                                        И просьба перестаньте применять новые модные слова и сокращения. Мода ведь всегда проходит.
                                                        А где я что-то новомодное применил? CIA - это классика ИБ (конфиденциальность, целостность и доступность). ISMS - классика 27001 (по-русски СУИБ). CISSP - классика ИБ. M&A - это тоже классика (только в бизнесе). Никаких новых терминов, которые бы не использовались лет 10-20 я не использовал (кроме может быть ISMS).

                                                        Комментарий


                                                        • Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                          Проблема в том, что эта позиция должна быть понятна именно ИБшникам. Владелец бизнеса слишком высоко, чтобы разбираться в таких тонкостях. Тем более, что он-то как раз крутится в бизнесе, говорит языком бизнеса и т.п. Ему менять ничего не надо. Это ИБшник должен понимать его и доносить до него свою тему понятным языком.
                                                          Бедные ИБ-шники, как я им не завидую! Хорошо, что сам не состою в этой категории работников.
                                                          Алексей, Вы где витаете? Цель бизнеса может назвать только его владелец и далеко не каждому. Мы обсуждаем вопросы уровнем пониже и хорошо если одним уровнем ниже. И обсуждаемая Политика пишется вовсе не для владельцев (им то как раз это до лампочки), а для исполнителей (а вот управление исполнителями владельцам не до лампочки).
                                                          "Я не ставил, я транслировал имеющуюся цель в ИБ."
                                                          Наверное это переводится на русский как "осуществлял защиту бизнеса"?

                                                          А у вас цели защиты отвязаны от целей бизнеса? А смысл? "Лебедь, рак и щука" получается.
                                                          У меня сложилось впечатление, что ВЫ дали ответ на фрагмент не прочитав его. Извините елси ошибся.

                                                          С Маслоу не знаком, за это отдельные извинения.
                                                          Могу только повториться: документ должен быть написан для исполнителей, а они его должны принять изложенные в нем принципы и правила как неотъемлемую часть своей работы, образа жизни.

                                                          А где я что-то новомодное применил? CIA - это классика ИБ (конфиденциальность, целостность и доступность). ISMS - классика 27001 (по-русски СУИБ). CISSP - классика ИБ. M&A - это тоже классика (только в бизнесе). Никаких новых терминов, которые бы не использовались лет 10-20 я не использовал (кроме может быть ISMS).
                                                          Вы, как популяризатор темы ИБ, не находите что приведенные Вами абвериатуры русские и английские требуют по несколько часов лекций каждая для не ИБ-шников? Ведь иногда эти форумы и топ-ы посещают, так сказать "модных слов набраться"?

                                                          Комментарий


                                                          • Здраствуй, Алексей!

                                                            Выкладываю материалы по частным моделям угроз ОЗ некой Информационной системы. Частные модели угроз строились по выложенному выше положению (сейчас его подправляю). Ввиду срочности не доделал все частные модели (это только наброски, для себя сделай свои способы воздействия и мероприятия по противодействию).

                                                            С уважением, Федоров Алексей.

                                                            Комментарий


                                                            • Сообщение от alex.a.fedorov Посмотреть сообщение
                                                              Выкладываю материалы по частным моделям угроз ОЗ некой Информационной системы. Частные модели угроз строились по выложенному выше положению (сейчас его подправляю). Ввиду срочности не доделал все частные модели (это только наброски, для себя сделай свои способы воздействия и мероприятия по противодействию).

                                                              С уважением, Федоров Алексей.
                                                              Уважаемый Алексей Федоров, огромная просьба переделать топологию представленной сети либо убрать ее вовсе, что бы такое решение не служило образцом для подражания.
                                                              За формы документов - отдельное спасибо.

                                                              Комментарий

                                                              Пользователи, просматривающие эту тему

                                                              Свернуть

                                                              Присутствует 1. Участников: 0, гостей: 1.

                                                              Обработка...
                                                              X