19 сентября, среда 23:37
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Зрелость бизнеса и ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Зрелость бизнеса и ИБ

    А дорос ли бизнес до ISM3 или хотя бы до 27001?
    Если отталкиваться от бизнеса, то оба стандарта одинаково неприменимы.
    И существующие исключения только подтверждают правило (

  • #2
    Сообщение от box_roller Посмотреть сообщение
    А дорос ли бизнес до ISM3 или хотя бы до 27001?
    Если отталкиваться от бизнеса, то оба стандарта одинаково неприменимы.
    И существующие исключения только подтверждают правило (
    По поводу 27001
    Можно постепенно. Например:
    Начать со следующего: запустить и описать процесс инвентаризации активов.
    Потом вместе с сервис-деском запустим управление инцидентами.
    Начнём реагировать на инциденты - придём к тому, что активы надо категорировать.
    Так постепенно и придём к управлению рисками - а уже после будем писать Политику и SoA.

    Комментарий


    • #3
      Сообщение от box_roller Посмотреть сообщение
      А дорос ли бизнес до ISM3 или хотя бы до 27001?
      Если отталкиваться от бизнеса, то оба стандарта одинаково неприменимы.
      И существующие исключения только подтверждают правило (
      О каком бизнесе вы говорите? Бизнесы былают очень разными, а стандарты о которых идет речь, носят универсальный характер.

      Почеаму вы решили что эти стандарты не применимы для бизнеса?
      Если считать не по сертификатам (они нужны далеко не всем), то эти стандарты в том или ином виде применяют сотни тысяч организаций по всему миру. А вы говорите исключения...

      Стандарт - это не законодательный акт и не технический регламент. Он не может носить обязательного характера. Его можно применять и почастям, как правильно заметил nremezov, беря из него то, в чем вы нуждаетесь в данный момент.

      Комментарий


      • #4
        PaulX Стандарт - это не законодательный акт и не технический регламент. Он не может носить обязательного характера. Его можно применять и почастям, как правильно заметил nremezov, беря из него то, в чем вы нуждаетесь в данный момент.

        Только вот про это мало кто говорит ;-( Я же не против стандарта как такогого - я против того, как его преподносят и как умалчивают его ограничения.

        Комментарий


        • #5
          Сообщение от PaulX Посмотреть сообщение
          О каком бизнесе вы говорите?
          Пишу. Не говорю, а пишу )
          О бизнесе вообще. О его среднем уровне зрелости в РФ. Он достаточно низок.

          Сообщение от PaulX Посмотреть сообщение
          Почеаму вы решили что эти стандарты не применимы для бизнеса?
          Для успешного внедрения того же iso 27001 бизнес должен понимать, что такое процессорный подход, бизнес-процессы и т.д. Для многих компаний это пока только красивые слова, а не реально работающие инструменты ведения бизнеса. "Бардак" преобладают. Относительное количество компаний, где процессорный подход реально и успешно функционирует, крайне невелико.

          имхо разумеется )

          Комментарий


          • #6
            Сообщение от box_roller Посмотреть сообщение
            Пишу. Не говорю, а пишу )
            О бизнесе вообще. О его среднем уровне зрелости в РФ. Он достаточно низок.
            Опять уровни зрелости! Да как вы измеряете эти "средние уровни зрелости"? Для чего вам вообще нужны рассуждения об уровнях зрелости? Чтобы успоивать себя? Мол у нас все извините хреново, но что же делать, средний уровень зрелости у нас по стране такой Основной смысл стандартов в области менеджмента заключается в том, чтобы собирать по крохам эффективные методы решения определенных задач, взаимоувязывать эти методы и использовать их в качестве ориентира для всех организаций. В состоянии вы использовать чужой положительный опыт - тогда используйте и не пытайтесь всем объяснить что вы такие, потому что такой у нас общий уровень зрелости по стране.

            Сообщение от box_roller Посмотреть сообщение
            Для успешного внедрения того же iso 27001 бизнес должен понимать, что такое процессорный подход, бизнес-процессы и т.д. Для многих компаний это пока только красивые слова, а не реально работающие инструменты ведения бизнеса. "Бардак" преобладают. Относительное количество компаний, где процессорный подход реально и успешно функционирует, крайне невелико.
            А вы знакомы с реальной статистикой, которая говорит о том что на рынке только в течении первых пяти лет своего существования выживают меньши 10% компаний? И это общая по миру статистика, только проценты для каждой страны немного различаются. Остальным 90% конечно не до внедрения ISO. Вы наверное про них говорите?

            Комментарий


            • #7
              PaulX Опять уровни зрелости! Да как вы измеряете эти "средние уровни зрелости"? Для чего вам вообще нужны рассуждения об уровнях зрелости? Чтобы успоивать себя? Мол у нас все извините хреново, но что же делать, средний уровень зрелости у нас по стране такой

              Проблема в том, что если зрелость вашего руководства (и значит компании) такова, что оно предпочитает говорить "по понятиям", то вы своим процессным подходом идете лесом. Если руководство не понимает, что такое ISO 9000, то качество и процессы по ИБ тоже идут лесом. Ну и т.д. Модель зрелости придумана не просто так. Она определяет, куда стоит соваться, а куда нет.

              Комментарий


              • #8
                Сообщение от Алексей Лукацкий Посмотреть сообщение
                Проблема в том, что если зрелость вашего руководства (и значит компании) такова, что оно предпочитает говорить "по понятиям", то вы своим процессным подходом идете лесом. Если руководство не понимает, что такое ISO 9000, то качество и процессы по ИБ тоже идут лесом. Ну и т.д. Модель зрелости придумана не просто так. Она определяет, куда стоит соваться, а куда нет.
                Т.е. вы, используя некую модель зрелости, определяете уровень зрелости своего руководства (организации) и исходя из этого решаете какие механизмы контроля (процессы, средства и т.п.) использовать и каким критериям соответствовать? Красивый подход! Риски в этом случае видимо можно вообще не оценивать. А если ваша база данных накрылась медным тазом, то это потому, что у руководства организации был недостаточно высокий уровень зрелости.

                Комментарий


                • #9
                  Сообщение от PaulX Посмотреть сообщение
                  Т.е. вы, используя некую модель зрелости, определяете уровень зрелости своего руководства (организации) и исходя из этого решаете какие механизмы контроля (процессы, средства и т.п.) использовать и каким критериям соответствовать? Красивый подход! Риски в этом случае видимо можно вообще не оценивать. А если ваша база данных накрылась медным тазом, то это потому, что у руководства организации был недостаточно высокий уровень зрелости.
                  А может быть вы для начала все-таки почитаете, что такое модель зрелости и имеет ли она хот какое-то отношение к выбору механизмов защиты?

                  Комментарий


                  • #10
                    Сообщение от malotavr Посмотреть сообщение
                    А может быть вы для начала все-таки почитаете, что такое модель зрелости и имеет ли она хот какое-то отношение к выбору механизмов защиты?
                    А что если я уже для начала почитал и даже кое-какие из этих моделей пописал, а затем пришел к выводу, что в них мало проку? Тогда у вас нет возражений?

                    Комментарий


                    • #11
                      Тогда вы наверняка сумеете привести пример модели, в которой предлагается выбирать механизмы контроля исходя из уровня зрелости руководства

                      Я таких моделей не знаю, и это меня удручает

                      Комментарий


                      • #12
                        Сообщение от malotavr Посмотреть сообщение
                        Тогда вы наверняка сумеете привести пример модели, в которой предлагается выбирать механизмы контроля исходя из уровня зрелости руководства

                        Я таких моделей не знаю, и это меня удручает
                        Вы перефразировали мой вопрос, заданный Лукацкому, и теперь задаете мне мой же вопрос только в другой постановке Лукацкий на это отвечает "чтобы знать куда соваться". Т.е. он использует модели зрелости для принятия решений "куда соваться", что видимо означает какой стандарт и в каком объеме следует внедрять.

                        Я же задавал свой вопрос, не потому что мне неизвестен ответ на него, а чтобы показать что решения в области ИБ неправильно принимать исходя из уровня зрелости руководства, что модели зрелости не помогут вам в выборе механизмов контроля, и что они вообще по большому счету ни для чего не нужны.

                        Может быть вы находите какое-либо полезное применение моделям зрелости? Так поделитесь своими идеями, если не боитесь в них разочароваться

                        Комментарий


                        • #13
                          Сообщение от PaulX Посмотреть сообщение
                          Вы перефразировали мой вопрос, заданный Лукацкому, и теперь задаете мне мой же вопрос только в другой постановке Лукацкий на это отвечает "чтобы знать куда соваться". Т.е. он использует модели зрелости для принятия решений "куда соваться", что видимо означает какой стандарт и в каком объеме следует внедрять.
                          Видимо, я не понял вас так же, как вы не поняли Алексея

                          Его позиция можно софрмулировать в трех утвердениях:
                          1. ИБ - это инструмент достижения целей, которые должен ставить бизенс.
                          2. Ситуация, когда выбор мер защиты основывается на субъективных оценках, неправильна. Выбор должен делаться исходя из рациональных решений.
                          3. Точно так же неправильно использовать субъективные оценки при анализе эффективности защиты.

                          По п. 1 - бизнес может ставить цели тогда, когда он до этого дорос. Когда зарабатывание денег это не просто "срубание" контрактов, а целенаправленная планомерная деятельность. Умение ставить цели и планировать - это и есть нормальнвй уровень зрелости.

                          По п. 2 - станарт ИСО 27001 плох тем, что оценка рисков так или иначе базируется на субъективных оценках эксперта. Таким образом пристрастный эксперт обоснует все, что угодно. Так это или нет - можно спорить, но альтернативы оценке рисков я пока не вижу.

                          По п. 3. - стандарт ИСО 27001 плох тем, что в нем используются бинарные оценки (элемент либо присутствует, либо отсутствует). В итоге сертификация сводится к субъективной оценке, проводимой экспертом (элемент есть, но практически н не работает - это как оценивать?). В итоге все опять упирается в доверие к конкретному эксперту.

                          Сообщение от PaulX Посмотреть сообщение
                          Может быть вы находите какое-либо полезное применение моделям зрелости? Так поделитесь своими идеями, если не боитесь в них разочароваться
                          Грубо говоря, если я оцениваю ваш уровень зрелости как низкий , то вы никогда меня не убедите меня в том, что ваша система защищена. Вы можете внедрить какие угодно средства защиты, но я буду считать их появление результатом спонтанного "просветления" (или что вам их просто впарили). Наоборот, если у вас высокий уровень зрелости, и вы обходитесь небольшим набором средств защиты, я понимаю, что остальные вы не применяете исключительно потому, что в ваших условиях они просто не нужны.

                          Вы видите в таком подходе какие-нибудь изъяны?

                          Комментарий


                          • #14
                            Сообщение от malotavr Посмотреть сообщение
                            Его позиция можно софрмулировать в трех утвердениях:
                            1. ИБ - это инструмент достижения целей, которые должен ставить бизенс.
                            Вы еще скажите: "ИБ - это главное орудие рабочего класса в борьбе с мировой буржуазией". Не нравится это утверждение из прошлого века? Мне тоже честно говоря не нравится. Тогда как вам такое: "ИБ - это необходимое условие для осуществления миссии компании". Звучит даже более современно, чем "цели бизнеса".

                            Впрочем не будем далее упражняться в демагогии. Для нас достаточно и того, что ИБ - это деятельность по обеспечению безопасности информационных активов бизнеса, используемых для достижения его целей.

                            Сообщение от malotavr Посмотреть сообщение
                            2. Ситуация, когда выбор мер защиты основывается на субъективных оценках, неправильна. Выбор должен делаться исходя из рациональных решений.
                            3. Точно так же неправильно использовать субъективные оценки при анализе эффективности защиты.?
                            Сами то поняли что сказали? "Рациональные решения" по вашему основываются не на субъективных оценках, а на "математических моделях зрелости руководства"? А ваша оценка конкретного решения или конкретного уровня зрелости или эффективности защиты конечно субъективной не является?

                            Такие утверждения можно было бы ожидать от человека, который провел пол жизни в каком-нибудь НИИ, разрабатывая там математическую теорию защищенных систем, и окончательно утратил связь с реальным миром. Но практик, каждый день вынужденный принимать решения, исходя из субъективных оценок, такого изречь не может. Если только, он не забил свою голову изучением далеко не лучших образцов иностранной литературы в области ИБ.

                            Сообщение от malotavr Посмотреть сообщение
                            По п. 1 - бизнес может ставить цели тогда, когда он до этого дорос. Когда зарабатывание денег это не просто "срубание" контрактов, а целенаправленная планомерная деятельность. Умение ставить цели и планировать - это и есть нормальнвй уровень зрелости.
                            Опять идут рассуждения о том, что небо должно быть голубым, а трава зеленой.

                            Сообщение от malotavr Посмотреть сообщение
                            По п. 2 - станарт ИСО 27001 плох тем, что оценка рисков так или иначе базируется на субъективных оценках эксперта. Таким образом пристрастный эксперт обоснует все, что угодно. Так это или нет - можно спорить, но альтернативы оценке рисков я пока не вижу.
                            Советую вам все же почитать ISO 27001 (можно в переводе). Там данные вопросы вообще не рассматриваются. Наверное этим он и плох, с вашей точки зрения?

                            Сообщение от malotavr Посмотреть сообщение
                            По п. 3. - стандарт ИСО 27001 плох тем, что в нем используются бинарные оценки (элемент либо присутствует, либо отсутствует). В итоге сертификация сводится к субъективной оценке, проводимой экспертом (элемент есть, но практически н не работает - это как оценивать?). В итоге все опять упирается в доверие к конкретному эксперту.
                            Опять же. Лучше читать первоисточники, нежели самому придумывать какие оценки в них используются: бинарные или восьмеричные.

                            Сообщение от malotavr Посмотреть сообщение
                            Грубо говоря, если я оцениваю ваш уровень зрелости как низкий , то вы никогда меня не убедите меня в том, что ваша система защищена. Вы можете внедрить какие угодно средства защиты, но я буду считать их появление результатом спонтанного "просветления" (или что вам их просто впарили). Наоборот, если у вас высокий уровень зрелости, и вы обходитесь небольшим набором средств защиты, я понимаю, что остальные вы не применяете исключительно потому, что в ваших условиях они просто не нужны.
                            Так ларчик не открывается Вы субъективно оцениваете уровень зрелости руководства по какой то своей абстрактной и крайне субъетивной методе и на основании своей субъективной оценки делаете вывод об уровне защищенности. Для вас неважно какие существуют риски и какие способы их обработки применяются. И после этого вы пытаетесь критиковать подход, используемый в международных стандартах! Не лучше ли сначала разобраться в том как их правильно применять?

                            Сообщение от malotavr Посмотреть сообщение
                            Вы видите в таком подходе какие-нибудь изъяны?
                            Так что изъяны здесь, как вы наверное уже заметили, кругом.

                            Комментарий


                            • #15
                              PaulX Остальные стандарты этой серии носят характер пояснений к тому, как это делать

                              Не говорят ;-( Например, какие метрики использовать 27004 не говорит. Он в общем-то ни о чем ;-(

                              Комментарий


                              • #16
                                PaulX Т.е. вы, используя некую модель зрелости, определяете уровень зрелости своего руководства (организации) и исходя из этого решаете какие механизмы контроля (процессы, средства и т.п.) использовать и каким критериям соответствовать?

                                Не совсем. От уровня зрелости руководства и бизнеса компании я понимаю, стоит соваться с ISO 27001 или придется обойтись обычным счетом на покупку МСЭ.

                                Комментарий


                                • #17
                                  PaulX Я же задавал свой вопрос, не потому что мне неизвестен ответ на него, а чтобы показать что решения в области ИБ неправильно принимать исходя из уровня зрелости руководства, что модели зрелости не помогут вам в выборе механизмов контроля, и что они вообще по большому счету ни для чего не нужны.

                                  Давайте не подменять понятия ;-) Есть механизмы контроля, которые не имеют к 27001 отношения. Они были, есть и будут дальше существовать. 27001 только собрал некий набор механизмов и назвал это best practices. Так вот механизмы можно и нужно использовать вне зависимости от уровня зрелости руководства. От него зависит выход на руководство с той или концептуальной моделью - тем же 27001, ISM3 или даже Security Governance.

                                  Пример. Вы знаете как применить KPI для безопасности. Станете ли вы это применять? Ответ на него зависит от того, понимает ли, что такое KPI руководство компании и применяет ли оно его у себя в бизнесе. Если нет, то вы более зрелый, а руководство нет. Соваться не стоит - не поймут, пошлют, а время будет потеряно зря. Другой пример. В компании внедрена система сбалансированных показателей, а вы не можете транслировать BSC на безопасность. Руководство зрелое, а вы нет.

                                  Комментарий


                                  • #18
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Например, какие метрики использовать 27004 не говорит. Он в общем-то ни о чем ;-(
                                    Он говорит о том, что такое метрики, как их определять и использовать. Он также дает достаточно общие примеры метрик. Он не устанавливает какую-то определенную систему метрик, поскольку это стандарт высокоуровневый, который должен сохранять свою применимость в любой организации, независимо от ее типа, размера и прочих особенностей. Дальнейшая конкретизация привела бы к тому, что область применения этого стандарта ограничилась бы только определенными типами организаций, которым это подходит.

                                    Комментарий


                                    • #19
                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                      От уровня зрелости руководства и бизнеса компании я понимаю, стоит соваться с ISO 27001 или придется обойтись обычным счетом на покупку МСЭ.
                                      Ну для этого никакие стандарты определяющие модели зрелости не нужны. Вы просто ведете речь о психологии общения с руководством, которое может быть очень разным.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        механизмы можно и нужно использовать вне зависимости от уровня зрелости руководства. От него зависит выход на руководство с той или концептуальной моделью - тем же 27001, ISM3 или даже Security Governance.

                                        Пример. Вы знаете как применить KPI для безопасности. Станете ли вы это применять? Ответ на него зависит от того, понимает ли, что такое KPI руководство компании и применяет ли оно его у себя в бизнесе. Если нет, то вы более зрелый, а руководство нет. Соваться не стоит - не поймут, пошлют, а время будет потеряно зря. Другой пример. В компании внедрена система сбалансированных показателей, а вы не можете транслировать BSC на безопасность. Руководство зрелое, а вы нет.
                                        Как у вас в примере все просто! Мое руководство, построившее успешный бизнес (хотя бы потому, что оно имеет возможность платить мне и моим коллегам не маленькую зарплату) не знает что такое KPI и поэтому оно не зрелое! А я прочитал книгу о том, что такое KPI, обсудил этот вопрос в форуме с единомышленниками и теперь я зрелый. Но это же смешные рассуждения. Это уже не безопасность, а какая-то псевдопсихология получается.

                                        Комментарий


                                        • #21
                                          Сообщение от PaulX Посмотреть сообщение
                                          Вы еще скажите: "ИБ - это главное орудие рабочего класса в борьбе с мировой буржуазией". Не нравится это утверждение из прошлого века? Мне тоже честно говоря не нравится. Тогда как вам такое: "ИБ - это необходимое условие для осуществления миссии компании". Звучит даже более современно, чем "цели бизнеса".
                                          Я не занимаюсь демагогией - я использую те формулировки, которые наиболее точно отражают мою точку зрения.

                                          Не могу понять, какое слово вам не нравится, "инструмент" или "цель"? В нашем банке работы по обеспечению ИБ ведутся очень просто. Руководство ставит задачи - например, оценить насколько сложно при существующих мерах защиты провести "левый" платеж, и предложить подходящие контрмеры. В этом смысле я - измерительный инструмент.

                                          При этом у руководства есть определенные цели - например, снизить операционные риски, что позволит снизить планку обязательного резервирования капитала (т.е. увеличить ликвидность). Это цель, и внедрение предлагаемых по результатам оценки решений - способ достижения цели.

                                          Сообщение от PaulX Посмотреть сообщение
                                          Сами то поняли что сказали? "Рациональные решения" по вашему основываются не на субъективных оценках, а на "математических моделях зрелости руководства"? А ваша оценка конкретного решения или конкретного уровня зрелости или эффективности защиты конечно субъективной не является?
                                          Я называю оценку субъективной, если она не подкреплена никакими аргументами, кроме голословного "я считаю", "это общепринятая практика" или "это требование стандарта". Решение, основанное на такой оценке, я называю иррациональным.

                                          Я называю оценку объективной, если, грубо говоря, ее можно проверить - если за основу взяты понятные исходные данные, сделан логически правильная последовательность выводов и к ее результатам применен понятный, определенный при постановке задачи критерий. Решения, основанные на такой оценке я называю рациональными.

                                          Оценки, которые я делаю для руководства, в этом смысле объективны: мы сперва обговариваем, на каких исходных данных основываемся и как будем интерпретировать результаты.

                                          Сообщение от PaulX Посмотреть сообщение
                                          Такие утверждения можно было бы ожидать от человека, который провел пол жизни в каком-нибудь НИИ, разрабатывая там математическую теорию защищенных систем, и окончательно утратил связь с реальным миром. Но практик, каждый день вынужденный принимать решения, исходя из субъективных оценок, такого изречь не может. Если только, он не забил свою голову изучением далеко не лучших образцов иностранной литературы в области ИБ.
                                          Вот хороший пример субъективной оценки. Совершенно непонятно, кто в вашем понимании "практик", как вы оцениваете принимаемые им решения, какой притерий вы используете для разделения образцов на лучшие и худшие. Если бы я принял решение признать вашу правоту, то оно было бы основано на моем личном доверии к вашей компетентности - т.е. было бы иррациональным.

                                          Сообщение от PaulX Посмотреть сообщение
                                          Советую вам все же почитать ISO 27001 (можно в переводе). Там данные вопросы вообще не рассматриваются. Наверное этим он и плох, с вашей точки зрения?

                                          Опять же. Лучше читать первоисточники, нежели самому придумывать какие оценки в них используются: бинарные или восьмеричные.
                                          Вы меня заинтриговали. До сих пор я был уверен, что читал в ИСО 27001 что-то о том, что для разработки СМИБ нужно определить стратегию оценки рисков, идентифицировать риски, оценить их и внедрить соответствующие элементы контроля. Вернусь из отпуска - еще раз перечитаю. Думаете, это была галлюцинация?

                                          Сообщение от PaulX Посмотреть сообщение
                                          Так ларчик не открывается Вы субъективно оцениваете уровень зрелости руководства по какой то своей абстрактной и крайне субъетивной методе и на основании своей субъективной оценки делаете вывод об уровне защищенности.
                                          А может быть вы просто не очень представляете, о чем спорите (или, по крайней мере, о чем говорят ваши оппоненты)? Вы уже второй раз повторяете "оценить зрелость и на основании этой оценки сделать вывод об уровне защищенности". Еще раз обращаю ваше внимание: зрелость и защищенность - это ортогональные измерения, и, зная уровня по одному из них, нельзя судить об уровне по второму. Оценка уровня зрелости - это оценка уровня одоверия к тем мерам защиты, которые вы применяете. Точно так же, как в ИСО 15408 отдельно оцениваются функции безопасности и уровень доверия к реализации этих функций.

                                          Сообщение от PaulX Посмотреть сообщение
                                          Для вас неважно какие существуют риски и какие способы их обработки применяются. И после этого вы пытаетесь критиковать подход, используемый в международных стандартах! Не лучше ли сначала разобраться в том как их правильно применять?
                                          Как вы считаете, может человек, который работает менеджером рисков ИТ в европейском банке, не понимать достоинства и недостатки тех методик, которыми он пользуется? Настройщик музыкальных инструментов вынужден полагаться на свой слух, но это не значит, что он не понимает ненадежность этого инструмента и не хотел бы использовать что-нибудь более объективное.

                                          Сообщение от PaulX Посмотреть сообщение
                                          Так что изъяны здесь, как вы наверное уже заметили, кругом.
                                          Пока что я заметил только не подкрепленные аргументацией голословные утверждения

                                          Комментарий


                                          • #22
                                            Сообщение от malotavr Посмотреть сообщение
                                            Не могу понять, какое слово вам не нравится, "инструмент" или "цель"?
                                            Вас (вернее даже не вас) спрашивали про Фому, а вы отвечаете про Ерему. Ставится вопрос о том, для чего нужны модели зрелости, которые некоторые пытаются представить как альтернативу ISO 27001, а вы начинаете рассказывать как вы понимаете цели ИБ. Если для вас определение базовых понятий ИБ актуально, то вы могли бы создать для этого отдельную тему и назвать ее например так: "Базовые понятия ИБ для чайников".

                                            Сообщение от malotavr Посмотреть сообщение
                                            Оценки, которые я делаю для руководства, в этом смысле объективны: мы сперва обговариваем, на каких исходных данных основываемся и как будем интерпретировать результаты.

                                            Вот хороший пример субъективной оценки. Совершенно непонятно, кто в вашем понимании "практик", как вы оцениваете принимаемые им решения,....
                                            Ну, то что ваши оценки объектины, а не ваши - субъективны, было понятно и из предыдущих ваших постов. Этот вопрос очевидно является для вас краеугольным камнев, вокруг которого и строится дискуссия.

                                            Сообщение от malotavr Посмотреть сообщение
                                            Вы меня заинтриговали. До сих пор я был уверен, что читал в ИСО 27001 что-то о том, что для разработки СМИБ нужно определить стратегию оценки рисков, идентифицировать риски, оценить их и внедрить соответствующие элементы контроля. Вернусь из отпуска - еще раз перечитаю. Думаете, это была галлюцинация?
                                            Вы сперва свои предыдущие посты перечитайте, в которых утверждалось что в ISO 27001 используется бинарная система оценок, а методология внедрения основывается на субъективных экспертных оценках, чтобы мысли в порядок привести. В отпуске наверное произошла рассинхронизация. А затем уже открывайте первоисточник и вчитывайтесь и тогда, как знать, возможно вы увидите достоинства там, где вам раньше видились недостатки.

                                            Сообщение от malotavr Посмотреть сообщение
                                            Оценка уровня зрелости - это оценка уровня одоверия к тем мерам защиты, которые вы применяете. Точно так же, как в ИСО 15408 отдельно оцениваются функции безопасности и уровень доверия к реализации этих функций.
                                            ISO 15408 вам тоже необходимо перечитать более внимательно. То что вы называете уровнем доверия к реализации функций, на самом деле является уровенем доверия к оценке (или уровнем гарантированности оценки) этих функций. Другими словами, речь идет не о доверии к реализации функций или к тем, кто их реализовывал (их "уровню зрелости", как вы это называете), а о доверии к полноте и точности вашей оценки этих функций. Чем выше уровень доверия к оценке (по английски - EAL), тем выше должен быть уровень недоверия оценщика к реализации функций. Пока вы не уловили этой разницы, вы не сможете применять ISO 15408 на практике.

                                            Сообщение от malotavr Посмотреть сообщение
                                            Как вы считаете, может человек, который работает менеджером рисков ИТ в европейском банке, не понимать достоинства и недостатки тех методик, которыми он пользуется? Настройщик музыкальных инструментов вынужден полагаться на свой слух, но это не значит, что он не понимает ненадежность этого инструмента и не хотел бы использовать что-нибудь более объективное.
                                            Не скажу за настройщика музыкальных инструментов, но в своей практике я встречаю очень разных менеджеров рисков ИТ в том числе и в банках. Причем чем выше уровень самодовольства, тем, как правило, ниже уровень их зрелости

                                            Комментарий


                                            • #23
                                              PaulX хотя бы потому, что оно имеет возможность платить мне и моим коллегам не маленькую зарплату

                                              Успешный не значит зрелый ;-( Братки в 80-90-хх тоже были успешны но можно ли назвать их бизнес зрелым? Не уверен.

                                              Комментарий


                                              • #24
                                                Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                Успешный не значит зрелый ;-( Братки в 80-90-хх тоже были успешны но можно ли назвать их бизнес зрелым? Не уверен.
                                                Успешный и не зрелый - это намного лучше, чем зрелый и не успешный А еще, победителей не судят.

                                                Комментарий


                                                • #25
                                                  О, да, аргументы закончились, не начавшись, и мы перешли на личности Вы с чего такой агрессивный, коллега?

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Ставится вопрос о том, для чего нужны модели зрелости, которые некоторые пытаются представить как альтернативу ISO 27001
                                                  Простите, а с какого перепугу вы решили что кто-то пытается представить оценку зрелости как альтернативу оценке по ISO 27001? Не нужно приписывать оппонентам то, чего они не утверждали

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  ISO 15408 вам тоже необходимо перечитать более внимательно. То что вы называете уровнем доверия к реализации функций, на самом деле является уровенем доверия к оценке (или уровнем гарантированности оценки) этих функций. Другими словами, речь идет не о доверии к реализации функций или к тем, кто их реализовывал (их "уровню зрелости", как вы это называете), а о доверии к полноте и точности вашей оценки этих функций. Чем выше уровень доверия к оценке (по английски - EAL), тем выше должен быть уровень недоверия оценщика к реализации функций. Пока вы не уловили этой разницы, вы не сможете применять ISO 15408 на практике.
                                                  Ну давайте вы меня еще основам ISO 15408 поучите Я три года занимался сертификацией по ISO 15408 в системе сертификации ФСТЭК, а теперь вы мне будете рассказывать, что я не дорос до его применения. Зарываетесь, коллега Кстати, приоткройте завесу таины, сами-то вы где с ISO 15408 сталкивались?

                                                  Если сталкивались, то вы не можете не знать, что EAL выбирается при разработке задания по безопасности, то есть еще ДО того, как ставится вопрос об оценке продукта. Естественно, "уровень недоверия оценщика к реализации функций" - это ваша воспаленная фантазия. EAL всего лишь определяет, каким именно набором свидетельств разработчик подтверждает реализацию функций безопасности и какие проверки должен будет провести над этими свидетельствами оценщик. Эти проверки достаточно прозрачно описаны в общей методологии оценки, и там не так много иеста "субъективному мнению эксперта". Первый уровень доверия? Извольте предоставить руководство по инсталляции, руководство администратора и пользовтеля и спецификацию функций безопасности а мы проверим, что все функции в этих руководствах описаны и проведем выборочные тесты.

                                                  Хотите четвертый уровень? Давайте в дополнение к этому высокоуровневую и низкоуровневую проектную документацию, исходные коды, свои результаты тестирования, предлагаемую вами модель угроз и т.п. А мы проверим, что все эти свидетельства непротиворечивы, ну и, опять-таки потестируем.

                                                  Разумеется, ни о какой полноте и точности оценки оценочный уровень доверия не говорит. Он говорит о том, насколько глубоко разработчик проработал подсистему безопасности своего продукта на этапе ее проектирования, и смог ли он это подтвердить.

                                                  Кстати обратите внимание, что "Evaluation Assurance Level" переводится не как "уровень доверия к оценке", а как "оценочный уровень доверия". И это не вопрос грамматики английского языка, просто речь идет именно о факте измеримости уровня доверия к функциям безопаности, предполагаемой в парадигме Общих Критериев. Согласно этой парадигме, оценка производится по двум показателям:
                                                  1. По полноте функций безопасности и их способности противостоять заявленным разработчиком (sic!) угрозам
                                                  и 2. По уровню доверия к заявлениям разработчика о том, что он правильно эти функции реализовал.

                                                  Вот такого второго компонента не хватает ISO 27001, но им мог бы стать уровень зрелости СМИБ.

                                                  И теперь мы приходим к вопросу о доверии к вашим утверждениям. Вы одинаково уверенно рассуждаете и о ISO 27001, и об ISO 15408, с которым, судя по всему, вы знакомы только по публикациям. Так что, если хотите, чтобы вас воспринимали серьезно, прекратите перевирать чужие высказывания и потрудитесь подкреплять свои утверждения хоть какой-то аргументацией.

                                                  Сообщение от PaulX Посмотреть сообщение
                                                  Не скажу за настройщика музыкальных инструментов, но в своей практике я встречаю очень разных менеджеров рисков ИТ в том числе и в банках. Причем чем выше уровень самодовольства, тем, как правило, ниже уровень их зрелости
                                                  Грешен, люблю повыпендриваться. Но у этого выпендрежа есть очень простая и прагматичая цель. Каким бы знатоком человек себя не считал, он всегда должен допускать, что где-то ошибается. Так что лучше на этой ошибке меня поймают коллеги на форуме, чем она проявится в реальной жизни. Именно поэтому мне очень интересна ваша аргументация, увы - отсутствующая, и совсем неинтересно вашf внутреннzz убежденность.

                                                  Ладно, моя уехала отдыхать, так что, если у вас появятся аргументы, готов через неделю дискуссию продолжить. Только, пожалуйста, воздержитесь от личных выпадов: они могут быть уместны в очной встрече, где за свои слова принято отвечать, но в беседе двух относительно анонимных субъектов смотрятся некрасиво.

                                                  Комментарий


                                                  • #26
                                                    PaulX То что вы называете уровнем доверия к реализации функций, на самом деле является уровенем доверия к оценке (или уровнем гарантированности оценки) этих функций. Другими словами, речь идет не о доверии к реализации функций или к тем, кто их реализовывал (их "уровню зрелости", как вы это называете), а о доверии к полноте и точности вашей оценки этих функций.

                                                    Боюсь, что и западные разработчики стандарта и их российские коллеги удивятся узнав о такой трактовке 3-й части 15408. Если почитать 3-ю часть, то там дословно говорится именно о доверии к объекту оценки и реализации функции, а не о доверии к оценке.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      Ну давайте вы меня еще основам ISO 15408 поучите Я три года занимался сертификацией по ISO 15408 в системе сертификации ФСТЭК, а теперь вы мне будете рассказывать, что я не дорос до его применения.
                                                      Ну тогда понятно. Ваш уровень понимания стандарта примерно соответствует вашему практическому опыту. Эту дискуссию имеет смысл продолжить лет через 10, когда вы поднаберетесь опыта и ваши аргументы станут точнее соотносится с обсуждаемыми вопросами.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                        Боюсь, что и западные разработчики стандарта и их российские коллеги удивятся узнав о такой трактовке 3-й части 15408. Если почитать 3-ю часть, то там дословно говорится именно о доверии к объекту оценки и реализации функции, а не о доверии к оценке.
                                                        Ну, западных разработчиков мы вряд ли удивим, а вот для наших остается еще много непознанного, судя по качеству переводов.

                                                        Комментарий


                                                        • #29
                                                          PaulX Ну, западных разработчиков мы вряд ли удивим, а вот для наших остается еще много непознанного, судя по качеству переводов

                                                          Западные разработчики ПРИЗНАЛИ аутентичность нашего перевода.

                                                          Комментарий


                                                          • #30
                                                            С учетом того, что никто из них не владеет русским языком...и русский перевод не читал. Даже если предположить, что современный вариант русского перевода корректен, то, как выясняется, трактовка того, что написано в стандарте, в значительной степени определяется уровнем эксперта.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X