21 сентября, пятница 13:01
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Есть опыт успешного внедрения ISO 27001 в банке.

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Есть опыт успешного внедрения ISO 27001 в банке.

    29 апреля 2008 года "Банк24.ру" получил сертификат № 231663 на соответствие ISO 27001. Область применения: РАСЧЕТНОЕ ОБСЛУЖИВАНИЕ КЛИЕНТОВ ЧЕРЕЗ ИНТЕРЕНЕТ.
    http://certification.bureau-veritas...._frameset.html

    Готов выслушать нападки и ответить на них. Дать практические советы по внедрению.

  • #2
    Глубоко теоретические дискуссии с Алексеем Лукацким приветствуются.

    Комментарий


    • #3
      Готов выслушать нападки и ответить на них. Дать практические советы по внедрению.ИМХО почему - нападки))- лично я рад за Ваш банк, и респект лично Вам, но с другой стороны почуствовал легкую грусть- т.к. нам такой бесценный опыт внедрения СУИБ пока не светит(((.
      А вот вопрос могу задать- а как насчет СТО БР ИББС- ее внедрять банк будет? Или СУИБ полностью перекрывавет все требования(рекомендации) СТО БР ИББС?
      Мы продолжаем делать то, что мы уже много наделали

      Комментарий


      • #4
        to Андрей Ерин

        1. Что вошло в ваш scope?
        Какие активы и бизнес-процессы в упомянутой области применения?

        2. Использовали ли ПО автоматизации управления рисками? Какое?

        3. Как построили "управление инцидентами". ПО? Методология?

        Комментарий


        • #5
          Очень рад за ваш банк! Молодцы! Первые! Так держать!

          Комментарий


          • #6
            Сообщение от George-on-Don Посмотреть сообщение
            ИМХО почему - нападки))- лично я рад за Ваш банк, и респект лично Вам, но с другой стороны почуствовал легкую грусть- т.к. нам такой бесценный опыт внедрения СУИБ пока не светит(((.
            А вот вопрос могу задать- а как насчет СТО БР ИББС- ее внедрять банк будет? Или СУИБ полностью перекрывавет все требования(рекомендации) СТО БР ИББС?
            Негатив ожидается от активного противника ISO 27001 )


            СТО БР ИББС внедрять не будем, пока нет обязаловки. Эти стандарты описывают одно и тоже - управление ИБ, но СТО БР ИББС пытается еще больше перевести все качественные данные в количественный анализ. Зато 27001 определяет участие владельцев бизнеса в рассмотрении конкретных рисков, ставит их в курс подробностей и принятие конечных решений переносит на владельцев, а не на сотрудников ОИБ.

            Я думаю - обе системы работают и приносят ощутимый результат, если внедрены правильно.

            Комментарий


            • #7
              Сообщение от Андрей Ерин Посмотреть сообщение
              Негатив ожидается от активного противника ISO 27001 )
              ИМХО бывают случаи когда кроме "соответствия" стандарту ничего нет. Например - мы работаем с АБС ХХХХ- качество и безопасность которой оставляет желать лучшего- а с другой стороны фирма УУУУУ которая "склепала и сопровождает" эту АБС, оказывается сертифицирована по ISO 9001:2000 (менеджмент качества)??????
              Вот и получается- что сертификации по качеству прошли, сертификат получили- а вот качества все равно нет))))
              Мы продолжаем делать то, что мы уже много наделали

              Комментарий


              • #8
                Сообщение от box_roller Посмотреть сообщение
                to Андрей Ерин

                1. Что вошло в ваш scope?
                Какие активы и бизнес-процессы в упомянутой области применения?

                В scope 18 отделов и 115 человек. Критичных активов больше 1,5 сотни (мы не рассматриваем некритичные активы, критерий попадания в перечень активов установлен владельцем бизнеса)Бизнес процессов несколько, ряд из ни сквозные. Нам было проще, т.к. в Банке внедрен ISO 9001 и все процессы расписаны с приемлимым уровнем детализации.



                2. Использовали ли ПО автоматизации управления рисками? Какое?

                Сначала решили использовать Digital Security Office и для реестра активов и для рисков, даже купили его, в середине внедрения отказались от учета рисков в нем, планируем и для активов написать свое ПО.



                3. Как построили "управление инцидентами". ПО? Методология?

                На базе СМК (система менеджмента качеством) в рамках 9001. Система отработана, активно используется сотрудниками, ПО нашей разработки
                Ответы в цитате

                Комментарий


                • #9
                  2Андрей Ерин
                  начала решили использовать Digital Security Office
                  Чем вам не угодил Digital Security Office?
                  Вы пробовали еще какие-либо продукты?

                  Комментарий


                  • #10
                    Сообщение от Андрей Ерин Посмотреть сообщение
                    Ответы в цитате
                    Андрей Ерин , спасибо за ответы.

                    Комментарий


                    • #11
                      Сообщение от George-on-Don Посмотреть сообщение
                      ИМХО бывают случаи когда кроме "соответствия" стандарту ничего нет. Например - мы работаем с АБС ХХХХ- качество и безопасность которой оставляет желать лучшего- а с другой стороны фирма УУУУУ которая "склепала и сопровождает" эту АБС, оказывается сертифицирована по ISO 9001:2000 (менеджмент качества)??????
                      Вот и получается- что сертификации по качеству прошли, сертификат получили- а вот качества все равно нет))))

                      Бывает всякое... Особенно если область применения стандарта масенькая и к основным процессам имеет далекое отношение.

                      По своему опыту скажу, что в ходе работы пришлось поднять огромный пласт деятельности, очень здорово помог 9001, он у нас действительно работает. За время внедрения очень сильно поменялось отношение к ИБ со стороны зарабатывающих подразделений, да и всех остальных тоже. Много по ИБ делалось и раньше, просто теперь есть гарантия, что не упустили самого важного, да и что с уходом сотрудника не перестанет работать какая либо процедура. Да и необходимость постоянного улучшения не дает расслабиться. В общем: в начале противников внедрения было много, потом народ понял, что идет реальная польза от системы. Перед сертификацией весь Банк участвовал в работе системы с удовольствием и драйвом.

                      Комментарий


                      • #12
                        Сообщение от Андрей Ерин Посмотреть сообщение
                        ... но СТО БР ИББС пытается еще больше перевести все качественные данные в количественный анализ.
                        еще больше - это ваша экспертная оценка?
                        чего и на сколько больше ))) ... это несерьезно


                        Сообщение от Андрей Ерин Посмотреть сообщение
                        Зато 27001 определяет участие владельцев бизнеса в рассмотрении конкретных рисков, ставит их в курс подробностей и принятие конечных решений переносит на владельцев, а не на сотрудников ОИБ.
                        - ну в этом ISO недалеко от СТО БР ИББС ушел. Да и не уходил он вовсе )

                        СТО БР ИББС-1.0-2006: "Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).
                        При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков.
                        "

                        Комментарий


                        • #13
                          Сообщение от barmalei Посмотреть сообщение
                          Чем вам не угодил Digital Security Office?
                          Вы пробовали еще какие-либо продукты?
                          В DSO жесткий пречень отчетов и изменить их, как нам надо было нельзя, нет возможности учитывать персонал и инфраструктуру. Они общали дополнить к концу 2007, но так и не сделали.

                          Пробовать времени не было уже. К пониманию недостатков DSO пришли в середине внедрения, когда все сроки проекта были утверждены, быстро написали свои примочки. Сейчас пришло понимание, что и в нашей методике есть направление для улучшения, но в этом и есть основной принцип стандарта.

                          Комментарий


                          • #14
                            Андрей Ерин
                            Коллега, насколько я понял, вам здорово "облегчила жизнь" предварительная сертификация по ISO 9001, в связи с этим вопрос, что называется, "на засыпку" (интересует Ваше мнение): как скоро вы бы осилили сертификацию по ISO 27001 если бы сертификации по "девятитысячнику" не было проведено ранее?
                            Всё в наших руках...(с)

                            Комментарий


                            • #15
                              Сообщение от Пух575 Посмотреть сообщение
                              Андрей Ерин
                              Коллега, насколько я понял, вам здорово "облегчила жизнь" предварительная сертификация по ISO 9001, в связи с этим вопрос, что называется, "на засыпку" (интересует Ваше мнение): как скоро вы бы осилили сертификацию по ISO 27001 если бы сертификации по "девятитысячнику" не было проведено ранее?

                              Минимум еще пол года, а то и год. Народ-то уже был построен процессным подходом в деятельности, и имелись не только описанные процессы и процедуры, налаженный документооборот, но и процессное мышление у персонала было сформировано. Да и терминология рискового взгляда на бизнес не была новинкой как для руководства, так и для рядовых сотрудников.

                              Комментарий


                              • #16
                                Андрей Ерин
                                Народ-то уже был построен процессным подходом в деятельности, и имелись не только описанные процессы и процедуры, налаженный документооборот, но и процессное мышление у персонала было сформировано. Да и терминология рискового взгляда на бизнес не была новинкой как для руководства, так и для рядовых сотрудников.
                                Понятно...А бизнес-процессы и риски изначально "выстраивали-документировали" своими силами?Или всё же привлекали консультанта со стороны?
                                Всё в наших руках...(с)

                                Комментарий


                                • #17
                                  Сообщение от box_roller Посмотреть сообщение
                                  еще больше - это ваша экспертная оценка?
                                  чего и на сколько больше ))) ... это несерьезно

                                  - ну в этом ISO недалеко от СТО БР ИББС ушел. Да и не уходил он вовсе )

                                  СТО БР ИББС-1.0-2006: "Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).
                                  При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков.
                                  "
                                  1. Про экспертную оценку - 2е высшее у меня - это классический университет по специальности социология. Долгие годы мы разбирались в количественных и качественных методологиях и методиках, как по отдельности, так и в их взаимодействии. Это про компетентность эксперта

                                  Теперь факты:

                                  МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИБ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РФ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006 (СТО БР ИББС-1.2-2007) – вот конкретный пример преобразования исходных качественных данных в количественные показатели методом экспертных оценок.

                                  Например, есть глубоко качественный показатель «Осознание информационной безопасности: понимание организацией необходимости…». В самом СТО БР ИББС-1.2-2007 говорится, что «Осознание информационной безопасности является внутренним побудительным мотивом организации…» и вот мы к этому коллективному сознанию организации подключаем «вольтметр» и выдаем цифру «4» или другую. В качестве вольтметра служит метод экспертных оценок, когда какой-то эксперт оценивает «частные показатели», они умножаются на Коэффициент значимости показателя, который тоже является плодом умозаключения и не подлежит изменению, в зависимости от целей организации. В итоге придуманные цифры дальше живут своей жизнью, отличной от действительности. Можно долго говорить о различных методиках экспертных оценок, наиболее точные предполагают несколько итераций и сведение разброса мнений экспертов к минимуму...

                                  Если коротко: когда мы переходим от качественных показателей к их численной оценке одним человеком, перемножаем эти оценки на виртуальные коэффициенты, потом завораживаемся магией обобщающих формул, то в этом есть «от лукавого». И в стандарте от ЦБ этого больше чем в 27001.

                                  Но обе идеологии имеют право быть. Многие доказывают, что теория Фрейда – полная чушь, но психотерапевты-практики во всем мире реально помогают людям методиками, основанными на теории Фрейда – и это главное, и это истина.

                                  2. ISO 27001 заставляет владельца прочесть все риски и поставить лично крестики, с какими рисками жить дальше. В ходе этого ознакомления владелец знакомиться с истинным положением дел. В СТО нет такой обязаловки в таких подробностях, требование более расплывчато.

                                  Хотя согласен, что оба стандарта близки в этом.

                                  Раздражает только в СТО наличие моделей угроз и нарушителей. Это из старой российской практики попало сюда. Все в кучу получилось и подход рисковый из 27001 и модели нарушителя из учебника по ИБ.

                                  Комментарий


                                  • #18
                                    Сообщение от Пух575 Посмотреть сообщение
                                    Андрей Ерин
                                    Народ-то уже был построен процессным подходом в деятельности, и имелись не только описанные процессы и процедуры, налаженный документооборот, но и процессное мышление у персонала было сформировано. Да и терминология рискового взгляда на бизнес не была новинкой как для руководства, так и для рядовых сотрудников.
                                    Понятно...А бизнес-процессы и риски изначально "выстраивали-документировали" своими силами?Или всё же привлекали консультанта со стороны?

                                    А у нас директор-совладелец - сертифицированный ведущий аудитор 9001. Какие внешнии консультанты могут быть? У нас дочка - консалтинговая контора по 9001.

                                    Комментарий


                                    • #19
                                      Сообщение от Андрей Ерин Посмотреть сообщение
                                      1. Про экспертную оценку - 2е высшее у меня - это классический университет по специальности социология. Долгие годы мы разбирались в количественных и качественных методологиях и методиках, как по отдельности, так и в их взаимодействии. Это про компетентность эксперта
                                      имхо Количество ВО, как и его наличие, никак не повлияет на то, что экспертная оценка априори субъективная. Как и понятие о компетентности.

                                      Сообщение от Андрей Ерин Посмотреть сообщение
                                      Теперь факты:

                                      МЕТОДИКА ОЦЕНКИ СООТВЕТСТВИЯ ИБ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РФ ТРЕБОВАНИЯМ СТО БР ИББС-1.0-2006 (СТО БР ИББС-1.2-2007) – вот конкретный пример преобразования исходных качественных данных в количественные показатели методом экспертных оценок.
                                      Оценки, после преобразования, так и остались качественными. Методика эта для специалистов. А для широкой общественности есть круговые диаграммы. Простые и понятные. При использовании которых, придуманные цифры не заживут своей жизнью


                                      Сообщение от Андрей Ерин Посмотреть сообщение
                                      И в стандарте от ЦБ этого больше чем в 27001.
                                      ...
                                      ... В СТО нет такой обязаловки в таких подробностях, требование более расплывчато.
                                      ....
                                      На мой взгляд, слова "более" или "менее" - это слова, за которыми ничего не стоит.
                                      Если это ваше мнение, пишите, что оно Ваше. Если вы выдаете это за истину, то было бы хорошо привести точные оценки и ссылки на источники. Сколько "этого" в iso, а сколько в СТО БР ИББС. Кто и как это считал. И дать собственно определение, что вы подразумеваете под "этого". Иначе это похоже на пустую болтовню. И это моё субъективное мнение ))

                                      Комментарий


                                      • #20
                                        Дискуссия становиться острее спереходом на личности

                                        Сообщение от box_roller Посмотреть сообщение
                                        имхо Количество ВО, как и его наличие, никак не повлияет на то, что экспертная оценка априори субъективная. Как и понятие о компетентности.
                                        "экспертная оценка априори субъективная" - ок. В родовое понятие компетентности входит понятие компетенций, для компетенций обязательно наличие профильных знаний. Быстрым доказательством наличия профильных знаний является диплом о профильном образовании, глубина и фундаметальность этих знаний определяется статусом учебного заведения. Это правило, остальное - частности и исключения.


                                        Сообщение от box_roller Посмотреть сообщение
                                        Оценки, после преобразования, так и остались качественными. Методика эта для специалистов. А для широкой общественности есть круговые диаграммы. Простые и понятные. При использовании которых, придуманные цифры не заживут своей жизнью
                                        Диаграммы - это графическое (наглядное) представление чисел - в диаграме есть четкая цифра определяющая границу цвета, а это уже операции с количественными данными. Качественные исследования и качественные результаты характеризуются отсутствием этих границ. Можно говорить только о тенденциях и направлениях (даже не векторах). Как работать с качественными данными давно уже придумано, еще с 30х годов целые школы (Чикагская и т.д.) в Американской социологии уже работали с этми методиками.

                                        В рамках форума я не буду доказывать некорректность представления результатов операций с изначально качественными данными в виде графиков, диаграмм, таблиц и других элементов анализа количественных данных. Это уже написано в академических учебниках. Есть методы перехода от качественных данных к количественным: это интервальные методики и экспертные оценки. Думаю большинство знакомы с ними. Если методки выполненны корректно, то, с определенной долей достоверности, мы получим приблизительную картину.

                                        Есть вопросы к самой методике экспертной оценки в СТО, но это уже предмет научного спора и материал на статью


                                        Сообщение от box_roller Посмотреть сообщение
                                        На мой взгляд, слова "более" или "менее" - это слова, за которыми ничего не стоит.
                                        Если это ваше мнение, пишите, что оно Ваше. Если вы выдаете это за истину, то было бы хорошо привести точные оценки и ссылки на источники. Сколько "этого" в iso, а сколько в СТО БР ИББС. Кто и как это считал. И дать собственно определение, что вы подразумеваете под "этого". Иначе это похоже на пустую болтовню. И это моё субъективное мнение ))
                                        Я изначально технарь и тоже когда-то горячился на занятиях по качественным методам исследования, все спрашивал: так что здесь правильно, и как это померить? В качественных исследованиях мы как раз говорим тенденциями: "Более\менее", "Возможно приведет к этому", "есть тенденция к увеличению" и т.д. И только это правильно, все остальное "от лукавого"

                                        Комментарий


                                        • #21
                                          Сообщение от Андрей Ерин Посмотреть сообщение
                                          Быстрым доказательством наличия профильных знаний является диплом о профильном образовании, глубина и фундаметальность этих знаний определяется статусом учебного заведения. Это правило, остальное - частности и исключения.
                                          Диплом говорит о наличии Знаний, но не о наличии Понимания этих Знаний.


                                          Сообщение от Андрей Ерин Посмотреть сообщение
                                          В рамках форума я не буду доказывать некорректность представления результатов операций с изначально качественными данными в виде графиков, диаграмм, таблиц и других элементов анализа количественных данных.
                                          ...
                                          Есть вопросы к самой методике экспертной оценки в СТО, но это уже предмет научного спора и материал на статью
                                          ....
                                          Доказывать ничего не нужно. Есть стандарт (СТО БР ИББС). И аудит на соответствие будет по этому Стандарту. И результаты аудита будут в виде круговых диаграмм по Стандарту.
                                          А что внутри стандарта - это уже действительно частности

                                          Комментарий


                                          • #22
                                            Андрей Ерин Дискуссия становиться острее спереходом на личности

                                            Так и зачем вам я в таком случае?

                                            Негатив ожидается от активного противника ISO 27001

                                            Я не противник, я критик. Причем не самого стандарта, а того, как его преподносят в России.

                                            И только это правильно, все остальное "от лукавого"

                                            Точно. И тут мы с вами совпадаем ;-)

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Андрей Ерин Дискуссия становиться острее спереходом на личности

                                              Так и зачем вам я в таком случае?

                                              ;-)
                                              Алексей с Вами мне было бы приятно пообщаться (даже до спора и драки )

                                              На своем корпоративном портале мы живо обсуждали Ваши статьи, незадолго до сертификационнго аудита. после бурных дискуссий пришли к выводу, что хаете дискредитацию стандарта, а не саму суть. Нашли Вашу цитату, что "снимете шляпу перед организацией, которая внедрит СУИБ на сквозные процессы"

                                              Мы и есть та организация

                                              А в спорах, как оперировать качественными данными для получения результатов с достоверностью, достаточной для принятия решения, надо исходить из понимания конечной цели. Если стоит задача выстроить иерархию рисков, понять какую группу рисков надо обработать здесь и сейчас, что можно оставить на завтра, а про что можно и не вспоминать, то 27001 решаеат эту задачу очень достойно. Еще дает весомую гарантию, что ничего не забыли. Ну и имиджевая составляющая сертификата играет немаловажную роль. Поэтому я стал сторонником 27001, хотя изначально учился на моделях нарушителя и всей идеологии ГОСТ 15408 и СТР-К, а по ISO только закончил BSI курсы

                                              Это все религиозные споры о пристрастиях - задавайте практические вопросы, постараюсь ответить.

                                              Комментарий


                                              • #24
                                                Сообщение от Андрей Ерин
                                                А у нас директор-совладелец - сертифицированный ведущий аудитор 9001.
                                                Сообщение от Андрей Ерин
                                                Нам было проще, т.к. в Банке внедрен ISO 9001 и все процессы расписаны с приемлимым уровнем детализации.
                                                Сообщение от Андрей Ерин
                                                На базе СМК (система менеджмента качеством) в рамках 9001. Система отработана, активно используется сотрудниками, ПО нашей разработки
                                                Вот и причины успешного внедрения.
                                                Уровень зрелости ТОПов и организации очень высок (4-5). Основные проблемы были решены ещё при внедрении ISO 9001.
                                                К сожалению многим организациям до такого положения дел, как пешком до планеты Луна

                                                имхо Начинать внедрение ISO 27001 (и не только его) нужно с обучения ТОПов работать по PDCA.

                                                Комментарий


                                                • #25
                                                  Сообщение от box_roller Посмотреть сообщение
                                                  Вот и причины успешного внедрения.
                                                  Уровень зрелости ТОПов и организации очень высок (4-5). .
                                                  Это одна из главных причин

                                                  Сообщение от box_roller Посмотреть сообщение
                                                  Основные проблемы были решены ещё при внедрении ISO 9001.
                                                  К сожалению многим организациям до такого положения дел, как пешком до планеты Луна
                                                  Основные проблемы не были решены с помощью 9001. 9001 снимает только 20-30 % вопросов, и не основных, иначе любая контора с ISO 9001 сертифицировалась бы и по 27001. Так, до кучи.

                                                  Сообщение от box_roller Посмотреть сообщение
                                                  имхо Начинать внедрение ISO 27001 (и не только его) нужно с обучения ТОПов работать по PDCA.
                                                  Это обязательно!

                                                  Комментарий


                                                  • #26
                                                    Люди, кто озаботился сабжем?
                                                    http://dom.bankir.ru/showthread.php?t=82731
                                                    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

                                                    Комментарий


                                                    • #27
                                                      Сообщение от ValentineS Посмотреть сообщение
                                                      Люди, кто озаботился сабжем?
                                                      http://dom.bankir.ru/showthread.php?t=82731
                                                      Не озаботились.
                                                      Сам процесс управления рисками у нас есть, отчеты по рискам для сервисов/приложений делаем, отчеты по рискам есть. Отдельный регламент на эту тему писать пока не собираемся (есть более срочные задачи).

                                                      Комментарий


                                                      • #28
                                                        29 апреля 2008 года "Банк24.ру" получил сертификат № 231663 на соответствие ISO 27001.
                                                        Видимо, BV сообразил, что ему нужны сертификации, а то рынок уходит к BSI.
                                                        И сколько же несоответствий не стало препятствием для выдачи бумажки?
                                                        А ассесмент наши проводили или супостаты?

                                                        Комментарий


                                                        • #29
                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Не озаботились.
                                                          Это точно


                                                          Сообщение от malotavr Посмотреть сообщение
                                                          Сам процесс управления рисками у нас есть, отчеты по рискам для сервисов/приложений делаем, отчеты по рискам есть. Отдельный регламент на эту тему писать пока не собираемся (есть более срочные задачи).
                                                          Рекомендации письма неплохо укладывается в рамки стандарта 27001. Кое-что полезное из него взяли.

                                                          Есть, конечно, рекомендации просто умиляющие – например, про требования к провайдерам. Когда ковыряешься в провайдерах как в апельсинах, тогда можно двигать жесткие требования по выполнению ими внутренних правил ИБ и т.д. Если же хорошие каналы тока у одного провайдера, тогда надо находить с ним общий язык, а остальных только и остается, что использовать в резерве.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Ригель Посмотреть сообщение
                                                            Видимо, BV сообразил, что ему нужны сертификации, а то рынок уходит к BSI.
                                                            Сообразили, поэтому организационные мероприятия провели в рекордно короткие сроки! И за разумную цену.


                                                            Сообщение от Ригель Посмотреть сообщение
                                                            И сколько же несоответствий не стало препятствием для выдачи бумажки?
                                                            Немного, и все действительно были несущественные. Например: дырки в заборе, не прикрытые видеокамерой, а рядом кабель-воздушка в резервную серверную. Сейчас уже весь старый забор снесен и выстраивается новый.
                                                            И так по всем несоответствиям - вроде риск несущественный, из-за низкой вероятности, но ущерб может быть большим, а не смягчили риск, потому что или руки не доходят или просто наш замыленный глаз не идентифицировал риск. От сертификации мы получили, как добавочную стоимость, - еще и консалтиговый аудит, действительно были вскрыты глубинные пласты процессов ИБ.

                                                            Сообщение от Ригель Посмотреть сообщение
                                                            А ассесмент наши проводили или супостаты?
                                                            Супостаты.
                                                            Дядька аудитор (Ярив Даймонд) много лет програмил в секретной конторе Израиля. Уже 4 года занимается аудитами ИБ. Наш консалтер, крупный специалист по 9001, член группы ISO ООН (и прочая, прочая...) сказал, что такого профессионального аудита он еще не видел. Приходя в отдел, Ярив несколько часов вникал в процессы. Затем выхватывал возможные уязвимости, и копал как они нами закрываются, при том опрашивал больше рядовых сотрудников. На веру ничего не принимал, на все ответы просил ОД (объективные доказательства). От BV был второй аудитор, который набирал часы, может поэтому Ярив показывал мастер-класс. Одна была проблема - все шло через переводчика.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X