16 октября, вторник 13:29
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

ISO 27001 ISMS Toolkit

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ISO 27001 ISMS Toolkit

    Всем добрый день!
    Меня зовут Роман, мне поручено заниматься вопросами ИБ в организации средних размеров (до 1000 человек) с филиалами в городах России и за рубежом. Работа в этом направлении у нас только начинается, курс выбран на iso27001 с последующей сертификацией, в связи с чем хотелось бы услышать мнения уважаемых специалистов ИБ о тулките ITG 6401 No 3 Comprehensive ISO 27001 ISMS Toolkit и о его практической полезности. Совсем замечательно, если кто-нибудь поделится опытом использования сего набора, в частности средства анализа рисков vsRisk..)

  • #2
    Могу сказать про vsRisk - утилита мне понравилась, но у неё проблемы с русским языком - так что для работы её использовать не вышло. Рекомендую это уточнять при покупке.

    Комментарий


    • #3
      nremezov, спасибо..) про язык - только что с глобал траста пришло письмо, в нем говорилось, что весь этот комплект на английском, и, в частности, "vsRisk пока не дружит с русским языком". Фраза "пока не дружит" таки немного обнадеживает..)

      А вообще кто-нибудь использует в своей работе какие-нить тулкиты или все всё сами разрабатывают и пишут?

      Комментарий


      • #4
        ramalla

        А с чем связано желание сертифицироваться по ISO 27001? И зачем он вам вообще нужен?

        Комментарий


        • #5
          Алексей Лукацкий

          наша организация работает не только на российком, но и на международном рынке инжиниринговых услуг в энергетике, проекты достаточно крупные, заказчики тоже..) поэтому общепризнанный сертификат в области информационной безопасности был бы неплохим довеском к остальным преимуществам перед конкурентами, да и некой гарантией заказчикам. пожалуй, это самые главные причины..)

          Комментарий


          • #6
            Понятно ;-) Т.е. нужна бумажка

            Комментарий


            • #7
              2Алексей Лукацкий чем вам не нравиться 27001?
              Какие предлагаете альтернативы?

              Комментарий


              • #8
                Алексей Лукацкий, бумажка больше для клиентов, конкурентов и т.п.) лично для меня важнее реальный уровень ИБ..)

                Комментарий


                • #9
                  barmalei чем вам не нравиться 27001?

                  Мне не нравится, с каким апломбом его все продвигают ;-( А интеграторы так вообще преподносят его как единственно верный путь, что неправильно. Стандартов на СУИБ в мире достаточное количество, а у нас все почему-то прицепились к 27001. Оно и понятно - чтобы получить бумажку - надо заплатить денег и немало. Т.е. интерес скорее финансовый, чем принципиальный.

                  Какие предлагаете альтернативы?

                  ISM3. Более грамотен с точки зрения ИБ и бизнеса. И не требует сертификации (хотя это возможно). И маппируется при необходимости в 27001.

                  Комментарий


                  • #10
                    Да. Почему-то во всем мире прицепились к ISO 27001, а еще к ISO 9001, ISO 14001, ISO 20000 и ко многим другим международным стандартам. Причем даже американцы и канадцы, которые по началу возражали, становятся все более лояльны к этим стандартам. Наверное все-таки потому, что это международные стандарты, одобренные подавляющим большинством представителей международного сообщества в ISO. Хотя по существу эти стандарты не являются каким-то откровением для специалистов, они воплощают собой консенсус. В этом их ценность и в этом их продуманность. А еще существует огромный положительный опыт их практического применения во всем мире.

                    Поэтому данные стандарты продвигают себя сами. Интеграторы для продвижения этих стандартов в сущности ничего не делают. Возникающий вокруг применения данных стандартов консалтинг - область совершенно новая и неизведанная для большинства интергаторов. Их забота, как вы правильно подметили, - привлечение новых клиентов и удержание существующих. Что же здесь может не нравиться?

                    Что касается ISM3 и прочих попыток скрестить ISO 27001 с COBIT и иже с ними, то сама по себе данная исследовательская деятельность безусловно полезна, однако я бы не стал преувеличивать значение моделей зрелости. Для бизнеса важна не оценка его уровня зрелости и планы по переходу на следующие уровни, хотя возможно для кого-то это и облегчает процесс планирования, а действительно важным является достижение баланса между существующими рисками ИБ, возможностями осуществления бизнеса и затратами на обеспечение безопасности. Если риски под контролем, кого волнуют модели зрелости?

                    Взять риски ИБ под контроль - вот смысл внедрения ISO 27001, и никакая сертификация не требуется до тех пор, пока вам не надо подтвердить соответствие заинтересованным сторонам.

                    Комментарий


                    • #11
                      PaulX американцы и канадцы, которые по началу возражали, становятся все более лояльны к этим стандартам

                      Не совсем. Американцы не воспринимают исошные стандарты. В причины не буду вдаваться, но исошные стандарты скорее европейские, чем американские.

                      Что же здесь может не нравиться?

                      В том что его преподносят как панацею ;-(

                      Взять риски ИБ под контроль - вот смысл внедрения ISO 27001

                      Да? А как считать эти риски? А как проверить работоспособность выбранных мер? А как увязать это с бизнесом? А как измерить эффективность? И т.д.

                      никакая сертификация не требуется до тех пор, пока вам не надо подтвердить соответствие заинтересованным сторонам

                      Только вот все интеграторы, наборот, внедрение 27001 затевают и пропагандируют ради сертификации.

                      Комментарий


                      • #12
                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        PaulX американцы и канадцы, которые по началу возражали, становятся все более лояльны к этим стандартам

                        Не совсем. Американцы не воспринимают исошные стандарты. В причины не буду вдаваться, но исошные стандарты скорее европейские, чем американские.
                        Я об этом упомянул. Только почему-то Федеральный Резервный Банк Нью-Йорка, Citibank, IBM, HP и многие другие американские организации не только внедрили ISO 27001, но и сертифицировались

                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        Что же здесь может не нравиться?

                        В том что его преподносят как панацею ;-(
                        Так это маркетологи стараются. Они все преподносят как панацею. Я от маркетинговых изворотов тоже не в восторге.

                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        Взять риски ИБ под контроль - вот смысл внедрения ISO 27001

                        Да? А как считать эти риски? А как проверить работоспособность выбранных мер? А как увязать это с бизнесом? А как измерить эффективность? И т.д.
                        Разве ответы на эти вопросы нельзя найти в стандартах серии ISO 27000? Подождите немного, в ближайшее время будут официально опубликованы ISO 27003-27005. Пока же можно пользоваться британскими аналогами.

                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                        никакая сертификация не требуется до тех пор, пока вам не надо подтвердить соответствие заинтересованным сторонам

                        Только вот все интеграторы, наборот, внедрение 27001 затевают и пропагандируют ради сертификации.
                        Сертификация служит заманиловом для клиентов, а интеграторы стремятся создать для себя как можно более широкий фронт работ и используют идею сертификации как погонялово и побудительный момент для заказчика. Непосредственно с сертификации доход получает только сертифицирующий орган.

                        Комментарий


                        • #13
                          PaulX Только почему-то Федеральный Резервный Банк Нью-Йорка, Citibank, IBM, HP и многие другие американские организации не только внедрили ISO 27001, но и сертифицировались

                          Есть подозрение, что сертифицировались не сами компании, а отдельные их процессы в отдельных подразделениях в отдельных странах. Мы вот тоже имеем сертификат по 27001. Только вот область его распространения касается не Америки и даже не Европы ;-)

                          Разве ответы на эти вопросы нельзя найти в стандартах серии ISO 27000?

                          Во-о-о-о-т! Т.е. помимо 27001, я еще должен внедрить 27002, 27003, 27004, 27005 и 27006... Замечательная перспектива ;-(

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            PaulX Только почему-то Федеральный Резервный Банк Нью-Йорка, Citibank, IBM, HP и многие другие американские организации не только внедрили ISO 27001, но и сертифицировались

                            Есть подозрение, что сертифицировались не сами компании, а отдельные их процессы в отдельных подразделениях в отдельных странах. Мы вот тоже имеем сертификат по 27001. Только вот область его распространения касается не Америки и даже не Европы ;-)
                            Конечно область сертификации всегда имеет четко определенные границы. Надо было показать заинетресованным сторонам соответствие определенных процессов и показали. В этом заключается основная цель сертификации. Вместе с тем вы еще и показали, что вы в принципе способны управлять ИБ в соответствии с ISO 27001. Видимо теперь есть основания поговорить об определенном "уровне зрелости"

                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            Разве ответы на эти вопросы нельзя найти в стандартах серии ISO 27000?

                            Во-о-о-о-т! Т.е. помимо 27001, я еще должен внедрить 27002, 27003, 27004, 27005 и 27006... Замечательная перспектива ;-(
                            "Внедрять" надо только 27001. Остальные стандарты этой серии носят характер пояснений к тому, как это делать. А вы хотели бы, чтобы ответы на столь сложные вопросы, которые вы поставили в своем предыдущем посте, уместились в 20-страничном документе под названием ISO 27001?

                            Комментарий


                            • #15
                              По поводу того, как преподносят 27001:
                              это судьба всех "популярных" стандартов, то же самое сейчас происходит с PCI DSS, когда многие вендоры начинает лепить на свои продукты PCI DSS compliant.

                              По поводу 2700х серии:
                              Спецификацию определяет 27001, все остальные стандарты серии позиционируются как вспомогательные (рекоммендации, пояснения).
                              Кстати, будет стандарт и по измерению эффективности (метрикам)

                              По поводу посылания лесом и процессного подхода:
                              А зачем пугать страшными словами? Я же уже описал как можно постепенно начать внедрять стандарт. Думаю обосновать нужность учёта активов будет менее сложно, чем внедрение СМК или СУИБ.

                              По поводу модели зрелости:
                              Естественно зрелость организации имеет значение. Но она ведь имеет свойство меняться со временем, причём, в том числе, благодаря усилиям заинтересованных лиц.

                              Алексей - вы поклонник "контролей", а не "процессов"?

                              Комментарий


                              • #16
                                nremezov это судьба всех "популярных" стандартов, то же самое сейчас происходит с PCI DSS, когда многие вендоры начинает лепить на свои продукты PCI DSS compliant.

                                Разница существенная. PCI - стандарт технический и почти не имеющий множества толкований. И PCI - стандарт обязательный к применению, в отличие от 27001.

                                Кстати, будет стандарт и по измерению эффективности (метрикам)

                                Только вот на практике применять его, ой как сложно ;-(

                                Думаю обосновать нужность учёта активов будет менее сложно, чем внедрение СМК или СУИБ

                                Спорно. Сам по себе учет активов никому не нужен - только в приложении к каким-либо последующим действиям. Поэтому скорее нужно обосновывать эти последующие действия, чем учет активов.

                                вы поклонник "контролей", а не "процессов"?

                                Я сторонник не заниматься тем, что не надо для дела ;-)

                                Комментарий


                                • #17
                                  PaulX По п. 2 - станарт ИСО 27001 плох тем, что оценка рисков так или иначе базируется на субъективных оценках эксперта. Таким образом пристрастный эксперт обоснует все, что угодно. Так это или нет - можно спорить, но альтернативы оценке рисков я пока не вижу.
                                  Советую вам все же почитать ISO 27001 (можно в переводе). Там данные вопросы вообще не рассматриваются. Наверное этим он и плох, с вашей точки зрения?


                                  п.4.2.1 стандарта говорит сам за себя. А 27005 только расширяет ту же тему. Никакого количественного измерения - только упоминание такой возможности. Все зависит от квалификации эксперта.

                                  По п. 3. - стандарт ИСО 27001 плох тем, что в нем используются бинарные оценки (элемент либо присутствует, либо отсутствует). В итоге сертификация сводится к субъективной оценке, проводимой экспертом (элемент есть, но практически н не работает - это как оценивать?). В итоге все опять упирается в доверие к конкретному эксперту.
                                  Опять же. Лучше читать первоисточники, нежели самому придумывать какие оценки в них используются: бинарные или восьмеричные.


                                  Согласен ;-) Там не двоичная, а третичная система. На вопрос "внедрен тот или иной процесс или механизм контроля?" у вас есть не два, а три ответа - "Да", "Нет", "Частично". И все на этом и построено.

                                  Комментарий


                                  • #18
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    п.4.2.1 стандарта говорит сам за себя. А 27005 только расширяет ту же тему. Никакого количественного измерения - только упоминание такой возможности. Все зависит от квалификации эксперта.
                                    Вы рассуждаете так, как будто существует такой стандарт или методология, применение которых не зависит от квалификации эксперта. И чем вас не устраивают качественные методологии оценки рисков? При желании любую качественную шкалу можно условно сопоставить размеру среднегодовых потерь организации от инцидентов ИБ и исходя их этого оценить ROI.

                                    Очень хорошо что серия 27000 не навязывает никакой определенной методологии, а лишь определяет общий подход, оставляя свободу выбора методов и инструментов. По моему опыту, это как раз то что нужно.

                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Там не двоичная, а третичная система. На вопрос "внедрен тот или иной процесс или механизм контроля?" у вас есть не два, а три ответа - "Да", "Нет", "Частично". И все на этом и построено.
                                    Да нет там никаких двоичных и третичных систем. Зачем чего-то придумывать? Используйте хоть десятеричные. Еще раз, стандарты ISO 27000 - это стандарты высокоуровневые. Они не навязывают использование никаких методологий и инструментов. Существуют десятки работающих на практике методологий, совместимых с ISO 27000.

                                    Комментарий


                                    • #19
                                      PaulX Вы рассуждаете так, как будто существует такой стандарт или методология, применение которых не зависит от квалификации эксперта

                                      ГОСТ 28147 ;-)

                                      И чем вас не устраивают качественные методологии оценки рисков?

                                      Кого? Меня? Устраивают. Я говорю про количественную оценку рисков и попытку применить ее для докзаательства чего-либо...

                                      При желании любую качественную шкалу можно условно сопоставить размеру среднегодовых потерь организации от инцидентов ИБ и исходя их этого оценить ROI.

                                      ROI в безопасности (если речь не идет о операторе услуг) не применимо, т.к. никакого возврата безопасность вам не дает. Максимум, что вы можете - посчитать потенциально предотвращенный ущерб.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Вы рассуждаете так, как будто существует такой стандарт или методология, применение которых не зависит от квалификации эксперта

                                        ГОСТ 28147 ;-).
                                        Не подходит. Просто, чтобы понять что в этом ГОСТе написано, требуется высокая квалификация в области криптографии. Причем существует куча далеко неравноценных реализаций этого ГОСТа. Не говоря уже о том, что пример не корректен, из-за того, что речь все же идет о стандартах в области менеджмента.

                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        ROI в безопасности (если речь не идет о операторе услуг) не применимо, т.к. никакого возврата безопасность вам не дает. Максимум, что вы можете - посчитать потенциально предотвращенный ущерб.
                                        А это уже новое слово в науке. Как же быть с сокращением среднегодовых потерь от инцидентов ИБ (потенциального ущерба)? Это ли не возрат вложений в безопасность? Или для вас возврат инвестиций понятие равноценное полученному организацией доходу от инвестиций? Тогда вынужден буду вас разочаровать. Это очень разные понятия.

                                        Комментарий


                                        • #21
                                          PaulX Просто, чтобы понять что в этом ГОСТе написано, требуется высокая квалификация в области криптографии.

                                          Только вот трактовать положения ГОСТа вы не можете иначе как там написано. А вопросы реализации уже выходят за рамки ГОСТа. К тому же там есть определенные элементы, которые в ГОСТе не прописаны, а от них зависит стойкость конечного результата. Но это лирика...

                                          Как же быть с сокращением среднегодовых потерь от инцидентов ИБ (потенциального ущерба)?

                                          Никак. Сокращение среднегодовых потерь вы оцениваете в КОНЦЕ года. А ROI для любого проекта доказывается в его НАЧАЛЕ (проекта). Я надеюсь вы не будете доказывать, что вынося проект по ИБ на защиту бюджетного комитета ЗАРАНЕЕ знаете размер ущерба. Если так, то я склоняю перед вами голову. Но что-то мне подсказывает, что вы прекрасно понимаете, что говорить о ROI в ИБ на сегодняшний день бессмысленно. И словами "потенциальный ущерб" вы сами это подтверждаете. Не знаю как вы, но мне регулярно при упоминании "потенциальности" ущерба приходится сталкиваться с вопросом: "А если угроза не произойдет и ущерба не наступит?" Более того, вы никогда не сможете подтвердить правильность вашего расчета ROI, т.к. если ваша система ИБ работает и отражает угрозы, то и ущерба никакого не наступает. Т.е. деньги-то вы потратили, а эффект нулевой с точки зрения любого финансиста... Где возврат-то? Хоть какой-либо?

                                          Это ли не возрат вложений в безопасность?

                                          Нет. Вы откуда черпаете свои знания? Мы все время сталкиваемся с разностью понятий и трактовок. Грамотный финансист скажет вам, что ROI - это отношение среднего увеличения прибыли к объёму инвестиций, а период окупаемости - срок, необходимый для того, чтобы сумма, инвестированная в тот или иной проект, полностью вернулась. Можно спорить о конкретном тексте, но суть не меняется - методика ROI говорит о ПРИБЫЛИ. Все остальное от лукавого и попытка натянуть модное словечко к областям, в которых люди не умеют оценивать эффективность по другому.

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Только вот трактовать положения ГОСТа вы не можете иначе как там написано. А вопросы реализации уже выходят за рамки ГОСТа. К тому же там есть определенные элементы, которые в ГОСТе не прописаны, а от них зависит стойкость конечного результата. Но это лирика....
                                            Уже было показано, что данный пример не корректен, а вы опять за свое.

                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Никак. Сокращение среднегодовых потерь вы оцениваете в КОНЦЕ года. А ROI для любого проекта доказывается в его НАЧАЛЕ (проекта). Я надеюсь вы не будете доказывать, что вынося проект по ИБ на защиту бюджетного комитета ЗАРАНЕЕ знаете размер ущерба. Если так, то я склоняю перед вами голову. Но что-то мне подсказывает, что вы прекрасно понимаете, что говорить о ROI в ИБ на сегодняшний день бессмысленно. И словами "потенциальный ущерб" вы сами это подтверждаете. Не знаю как вы, но мне регулярно при упоминании "потенциальности" ущерба приходится сталкиваться с вопросом: "А если угроза не произойдет и ущерба не наступит?" Более того, вы никогда не сможете подтвердить правильность вашего расчета ROI, т.к. если ваша система ИБ работает и отражает угрозы, то и ущерба никакого не наступает. Т.е. деньги-то вы потратили, а эффект нулевой с точки зрения любого финансиста... Где возврат-то? Хоть какой-либо?
                                            Инвестирование устроено немного сложнее, чем вы думаете. Опытный инвестор знаком также с механизмами хеджирования, опционами и другими механизмами уменьшения потенциального ущерба. Видимо отсюда и проистекают заблуждения, когда специалисты по ИБ начинают рассуждать о ROI, не разбираясь при этом в бизнесе и инвестировании.

                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Нет. Вы откуда черпаете свои знания? Мы все время сталкиваемся с разностью понятий и трактовок. Грамотный финансист скажет вам, что ROI - это отношение среднего увеличения прибыли к объёму инвестиций, а период окупаемости - срок, необходимый для того, чтобы сумма, инвестированная в тот или иной проект, полностью вернулась. Можно спорить о конкретном тексте, но суть не меняется - методика ROI говорит о ПРИБЫЛИ. Все остальное от лукавого и попытка натянуть модное словечко к областям, в которых люди не умеют оценивать эффективность по другому.
                                            Вы под грамотным финансистом наверное понимаете вашего бухгалтера? Дело в том, что для рассчета ROI требуются немного другие знания.

                                            ПРИБЫЛЬ = ДОХОДЫ - РАСХОДЫ - УЩЕРБ, предотвращая потенциальный УЩЕРБ и сокращая РАСХОДЫ на восстановление, вы увеличиваете ПРИБЫЛЬ. Это же азбука.

                                            Комментарий


                                            • #23
                                              Я сторонник не заниматься тем, что не надо для дела ;-)
                                              - Мудрые слова

                                              А вообще - хватит разводить оффтоп.
                                              Вопрос в теме звучал так:
                                              в связи с чем хотелось бы услышать мнения уважаемых специалистов ИБ о тулките ITG 6401 No 3 Comprehensive ISO 27001 ISMS Toolkit и о его практической полезности

                                              Комментарий


                                              • #24
                                                PaulX предотвращая потенциальный УЩЕРБ

                                                Не уходите от ответа. Как вы считаете потенциальный ущерб? На прибыль ИБ не влияет. На расходы - почти тоже. Остается ущерб. Только вот одна загвоздка - вы не можете его предсказать заранее. Более того, все попытки его измерить - профанация по большому счету. Прибыль я могу посчитать без проблем. Расходы - тоже (в приближении). А вот потенциальный ущерб? Нет. Он же потенциальный. Его может и не быть.

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  barmalei чем вам не нравиться 27001?

                                                  Мне не нравится, с каким апломбом его все продвигают ;-( .... Оно и понятно - чтобы получить бумажку - надо заплатить денег и немало. Т.е. интерес скорее финансовый, чем принципиальный.
                                                  Ну продвигают... Люди вложили денег в продвижение, теперь получают отдачу. В рекламе не принято говорить об ограничения, а только о достоинствах, даже если эти достоинства придуманы.

                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  barmalei Какие предлагаете альтернативы?

                                                  ISM3. Более грамотен с точки зрения ИБ и бизнеса. И не требует сертификации (хотя это возможно). И маппируется при необходимости в 27001.
                                                  То, что он более грамотен, еще не означает, что он может рассматриваться как альтернатива.
                                                  ISO 27001 - переведен. Стандарты на которые он ссылается - переведены. Есть куча людей которая может дать консультации по внедрению (как они утверждают).

                                                  ISM3 - перевода нет. Русскоязычной поддержки - нет. Его никто не предлагает. К чему мне стандарт, который я толком прочитать не могу? Для меня он не является альтернативой iso 27001.

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    PaulX предотвращая потенциальный УЩЕРБ

                                                    Не уходите от ответа. Как вы считаете потенциальный ущерб? На прибыль ИБ не влияет. На расходы - почти тоже. Остается ущерб. Только вот одна загвоздка - вы не можете его предсказать заранее. Более того, все попытки его измерить - профанация по большому счету. Прибыль я могу посчитать без проблем. Расходы - тоже (в приближении). А вот потенциальный ущерб? Нет. Он же потенциальный. Его может и не быть.
                                                    Поясняю популярно. То, как ИБ влияет на прибыль было показано в предыдущем посте. Вы наверное все же имели ввиду что ИБ не приносит дохода, одни расходы. Однако вы почему то утверждаете, что и на расходы ИБ не влияет, хотя на расходы ИБ влияет непосредственным образом. Во первых существуют расходы на ИБ, во вторых ИБ позволяет сократить, либо предотвратить расходы на ликвидацию последствий инцидентов.

                                                    Теперь к вашему основному вопросу: как посчитать потенциальный ущерб. Представьте себе, что вы бизнесмен или инвестор и вы вкладываете (инвестируете) определенную сумму денег во что-то. Чтобы было понятнее условно разделим ваши инвестиции на две части:

                                                    1. инвестиция в активы и генерацию дохода: приобретение каких-то активов (ценные бумаги, недвижимость, права на интеллектуальную собственность, средства производства и т.п.), оплату работникам и подрядчикам, оплату за какие-то услуги и т.д. и т.п.

                                                    2. страховая часть инвестиции: приобретение страховок, приобретение опционов (чтобы застраховаться от резкого изменения цены на рынке и предотвратить потенциальный ущерб), обеспечение юридической защиты, "крыша" (иногда), расходы на обеспечение физической и информационной безопасности и т.д. и т.п.

                                                    Допустим ваш инвестиционный проект успешно завершился и вы желаете теперь посчитать ROI. Ваш бухгалтер, назовем ее тетя Маша, вычтит из совокупного дохода ваши расходы, получив совокупную прибыль, и разделит это на величину расходов. Она будет совершенно права. Это будет совокупный ROI и для тети Маши этого вполне достаточно. Вам же интересно какой вклад в данный ROI вносит информационная безопасность (конечно и все другие статьи инвестиционных расходов для вас важны, но мы сейчас обсуждаем безопасность), т.к. без этих расходов прибыль могла быть совсем другой. Конечно точно вам это посчитать не удастся, т.к. события ИБ носят вероятностный характер и тетя Маша нам здесь уже не помощник.

                                                    Здесь мы переходим к оценке рисков, т.е. вероятностей событий и размеров потенциального ущерба. Я не буду здесь излагать ни одну из методологий оценки рисков. Во первых, вы и сами должно быть с некоторыми из них знакомы, во вторых, это не входит в мою задачу.
                                                    На выходе этого процесса вы получаете приблизительную оценку ALE (размер среднегодовых потерь от инцидентов, представляющихся вам вероятными) и разделив эту величину на ваши расходы на ИБ вы получаете оценку ROI для ИБ.

                                                    Важно также отметить, что оценка ROI для ИБ и других составляющий ваших инвестиций деляется до начала инвестиционного проекта, когда не только ущерб, но также и предполагаемые доходы и расходы и ожидаемая прибыль являются величиными вероятностными и оцениваются инвестором также приблизительно как и размеры потенциального ущерба. Чем более адекватной является методология используемая инвестором для оценки рисков проекта (включая риски ИБ), тем больше шансов на успех, больше средняя совокупная прибыль, а главное, тем стабильнее результаты этого инвестора (бизнесмена).

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      ...
                                                      По поводу бинарной логики - по моим данным - при сертификационном аудите (третьей стороны) - есть такая градация - "несоответствие" и "замечание". Соответственно "замечания" не приводят к провалу сертификационного аудита. Аудитор прежде всего оценивает то, как поставлен процесс. Могут быть не внедрены все необходимые (определённые при анализе рисков) контроли, но, если их внедрение запланированно и это отражено в документации - то аудит вполне можно и пройти. Но на следующей проверке (через год) аудитор обязательно обратит внимание на выполнение планов. Кстати, очень приветствуется введение своих контролей в дополнение к Annex A.
                                                      Если прочувствовать "процессную философию" всего стандарта, тогда противоречий при его понимании и внедрении будет меньше.

                                                      По поводу ROI (ROSI) - лично мне этот подход не нравится, больше нравятся идеи специализированных метрик для каждого контроля. Соответственно тут вполне можно применять COBIT с его показателями или что там у него.

                                                      Комментарий


                                                      • #28
                                                        PaulX Здесь мы переходим к оценке рисков, т.е. вероятностей событий и размеров потенциального ущерба. Я не буду здесь излагать ни одну из методологий оценки рисков. Во первых, вы и сами должно быть с некоторыми из них знакомы, во вторых, это не входит в мою задачу.

                                                        Если вы обратили внимание на мои посты, то у меня основная претензия или вопрос именно к оценке ущерба и вероятности угрозы. Пока я ни от кого не услышал адекватного ответа, КАК считать эти показатели. Без этого все ROI, ALE, SLE, ARO и т.п. интересны, как теория, но не как практика.

                                                        Комментарий


                                                        • #29
                                                          nremezov Если прочувствовать "процессную философию" всего стандарта, тогда противоречий при его понимании и внедрении будет меньше.

                                                          Чувства и формализованный стандарт?.. Что-то в этом есть ;-)

                                                          По поводу ROI (ROSI) - лично мне этот подход не нравится, больше нравятся идеи специализированных метрик для каждого контроля.

                                                          Мне тоже метрики больше нравятся. Тем более, что эта тема гораздо более проработанная, чем ROI.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                            Если вы обратили внимание на мои посты, то у меня основная претензия или вопрос именно к оценке ущерба и вероятности угрозы. Пока я ни от кого не услышал адекватного ответа, КАК считать эти показатели. Без этого все ROI, ALE, SLE, ARO и т.п. интересны, как теория, но не как практика.
                                                            Вы когда нибудь риски ИБ реально оценивали? Неважно по какой методологии. Если да, то откуда такие вопросы? Если нет, то не проще ли овладеть каким-либо практическим методом, нежели спрашивать чтобы в форуме вам на пальцах эти довольно непростые вещи объясняли? Почему, говоря про ущерб или про вероятности угроз, вы употребляете слово "считать"? Считать там обычно нечего, пока не наступят реальные потери, оценивать их надо, а не считать.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X