16 октября, вторник 17:47
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Процессный подход в обеспечение ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Процессный подход в обеспечение ИБ

    Что это за чудо?
    процесс обеспечения ИБ:
    процесс управления рисками
    процесс реагирования на инциденты ИБ..
    и т.д.
    В теории всё конечно более менее понятно, а на практике не представляю как это реализовывается, а надо ли вообще? и в частности среднему коммерческому предприятию? Каким образом при этом составляется документация? и т.п.
    Последний раз редактировалось box_roller; 05.08.2008, 13:24.

  • #2
    На мой скромный взгляд, процессный подход в управлении ИБ должен начинаться не с построения процессов ИБ, а с описания бизнес-процессов вообще.
    Этот подход становится понятен и ясен как Божий день, когда действительно начинаешь рисовать процессы по (например) методологии IDEF0. Отсюда процессы ИБ сами вырастут.

    Комментарий


    • #3
      карты основных бизнесов-процессов на предприятие согласно СМК по ИСО 9001 видел. Что с ними делать?!)
      Сейчас хочу попробывать описать процесс управления инцидентами на IDEF3.
      если возможно приведите пример подобных моделей.

      Комментарий


      • #4
        MustDie
        карты основных бизнесов-процессов на предприятие согласно СМК по ИСО 9001 видел. Что с ними делать?!)
        В какой они нотации (по какой методологии) изложены?
        Сейчас хочу попробывать описать процесс управления инцидентами на IDEF3.
        Почему выбрали IDEF3? Понятно, что любое описание для чего-нибудь да полезно, но думается мне (хотя я совсем не специалист по процессам и их моделированию), что для наших целей будет лучше IDEF0 и DFD, так как из IDEF0 видно, какие ресурсы используются и на каком основании идёт деятельность, а DFD (впрочем, как и IDEF0) позволяет нарисовать потоки данных. В IDEF3 тоже можно отобразить потоки данных, но эта нотация изначально заточена на причинно-следственную связь событий, а не на взаимодействие объектов и субъектов.
        если возможно приведите пример подобных моделей.
        Как бы это половчей... а, вот так нормально?

        Комментарий


        • #5
          sunny, не пугайте людей - все гораздо проще.

          Ключ в том, что антонимом процессного подхода является... (барабанная дробь) проектный подход, т.е. состояние незащищенности --> диагностика проблем --> планирование мер --> реализация мер --> самопроверка --> состояние защищенности.

          Ярким образчиком проектного мировоззрения является любая задача, которую Вам предлагают решить продавцы решений по ИБ (почитайте портфолио), но проектное отношение к ИБ может быть и внутри. Распознать его можно по приверженности к мероприятиям, акциям (слово "проект" скорее всего не употребляется) - это как раз проектный стиль работы. Причем повторение акций отнюдь не делает его процессным.

          Вот обнаружить сканером защищенности недостачу вагона патчей, сообщить о необходимости таковые поставить и затем убедиться, что поставлены - это проект.
          А наладить установку применимых патчей не позднее N дней после выхода - это процесс. Понадобится сделать список используемого ПО и версий, посадить человека на отслеживание выход патчей к этим версиям и предварительную оценку применимости, обязать админов создавать точки восстановления, фиксировать факты установки патчей, проверять, что функицонал системы от патча не пострадал и т.п.

          Недостаток в том, что нужда организации в процессном безопаснике по мере его работы потихоньку сходит на нет - безопасность начинает обеспечиваться "сама".

          Комментарий


          • #6
            MustDie как это реализовывается

            Начните с проектного подхода. Добейтесь реализации проектов в срок с заданными ресурсами. Как только это станет обычной практикой, у вас наладится и процесс ;-)

            а надо ли вообще?

            Вообще? Надо. В каждой конкретной ситуации ответ может меняться от положительного до отрицательного. Кого-то устаривает проектный подход, кому-то этого мало. Разница в том, что внедрив нормальный процессный подход, вы пронизываете ИБ через все предприятие, а не концентрируете его в службе ИБ, которая является точкой отказа и бутылочным горлошком при обычном подходе.

            и в частности среднему коммерческому предприятию?

            не надо в большинстве случаев

            Комментарий


            • #7
              В какой они нотации (по какой методологии) изложены?
              IDEF0

              Недостаток в том, что нужда организации в процессном безопаснике по мере его работы потихоньку сходит на нет - безопасность начинает обеспечиваться "сама".
              Почему же недостаток?Наоборот позволит ведь исключить операционную деятельность, и сосредоточится на стратегических задачах.

              Задача: организовать процесс обеспечения ИБ в распределенных территориально структурных единицах.

              В аттаче предполагаемые модель процесса обеспечения ИБ в нотации IDEFO.

              Комментарий


              • #8
                Ну, модель как модель. А можно как-то раскрыть вот этот фрагментик: "надо бы принять меры --> меры успешно приняты"?

                Комментарий

                Пользователи, просматривающие эту тему

                Свернуть

                Присутствует 1. Участников: 0, гостей: 1.

                Обработка...
                X