21 ноября, среда 12:44
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Стратегия ИБ рыба-фарш

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Стратегия ИБ рыба-фарш

    Озадачился написанием Стратегии.
    Прочитал для общего развития Доктрину ИБ РФ и Концепцию ИБ РФ.

    Набросал коротенько план, чего и выставляю на всеобщий суд.

    Что думаем
    1)Мы живем в век информационных технологий
    2)Информационные технологии проникает во все области
    3)Мы хотим повысить эффективность использования информационных систем
    4)Мы хотим увеличить бесперебойность в работе наших ИС
    5)Мы признаём важность защиты активов (информационных ресурсов)
    6)Мы признаем необходимость ИБ
    7)ИБ должны заниматься все, а не только менеджмент
    8)Мы понимаем основные риски ИБ и будем развивать средства контроля
    9)ИБ повысит уровень доверия партнеров, клиентов
    10)ИБ снизит риски вероятности … регулирующими и контролирующими органами
    11)Мы сделаем процесс обеспечения ИБ частью корпоративной культуры
    12)Мы будем постоянно развивать ИБ
    13) Цель - соответствие СТО БР


    Что будем делать
    1)Мы организуем отдельный орган по ИБ. Вначале 1 человечек, далее отдел.
    2)Мы разработаем программу для сотрудников банка о повышении осведомленности о роли и важности ИБ, ставшую частью корпоративной культуры
    3)Мы проведем инвентаризацию активов (ИР)
    4)Мы проведем инвентаризацию процессов
    5)Мы разработаем модель атак и модель нарушителей
    6)Мы разработаем основные политики по ИБ
    7)Политики должны быть такими, такими и вот такими
    8)Мы будем составлять планы мероприятий на каждый год по усилению ИБ и стремиться выполнять их
    9)Мы будем регулярно проводить внутренний и внешний аудиты на соблюдение политик ИБ
    10)Мы внедрим схему менеджмента ИБ по схеме Plan-Do-Check-Act
    11)Мы дождемся когда выйдет СТО БР 2010 вместе со всеми ИСПДн и тогда проведем необходимые работы по ПДн.
    12)Мы победим.

  • #2
    Во-первых, я бы разбил документ на два - архитектуру, определяющую, куда вы стремитесь, и стратегию, определяющую, как этого достичь.

    Во-вторых, СТО у вас не может быть целью стратегии/архитектуры - это сугубо тактическая задача, которая сама по себе нужна для того, чтобы у вас было меньше рисков и т.п. Т.е. в качестве целей надо выбирать нечто иное.

    ЗЫ. Еще немного по стратегии/архитектуре есть тут - http://lukatsky.blogspot.com/search/...83%D1%80%D0%B0

    Комментарий


    • #3
      Сообщение от Алексей Лукацкий Посмотреть сообщение
      Во-первых, я бы разбил документ на два - архитектуру, определяющую, куда вы стремитесь, и стратегию, определяющую, как этого достичь.
      Думаю здесь есть некоторая неточность. Вы строите дом. Вы строите его для того, чтобы он всем нравился. Это цель, и стремитесь вы к ней. Для ее реализации вам потребуется, в частности, архитектура.
      Архитектура - это организационная конструкция, инструмент, которым наиболее удобно использоваться в конкретной задаче. Это то, что называется системным подходом к решению задачи. Стратегия может включать в себя шаги по созданию архитектуры, потому, что в конкретной среде так удобнее и эффективнее достигнуть цели. А может и не включать. Однако это не значит, что цель без наличия архитектуры не может быть достигнута. Просто результат будет иным.
      Аналогичным образом цель может быть достигнута с одной лишь архитектурой и без стратегии. Вы будете иметь некий образ идеала, но слабо понимать, как к нему придти.
      Таким образом нельзя говорить о том, что архитектура определяет стратегию, или наоборот.

      Комментарий


      • #4
        "Смешались в кучу кони, люди и ..."

        Определитесь для начала с терминологией

        например:
        стратегия - общий, не детализированный План. Цели Плана достигаются через решение тактических задач.
        тактика - выбранная линия поведения ведущая нас к достижению определенных в стратегическом Плане целей.
        архитектура - структура/логика/описание процессов/систем...

        Комментарий


        • #5
          СТО БР можно считать и тактикой и целью в зависимости от того, кто будет считать.
          Я пока еще не встречал организаций, которым действительно необходима безопасность, в основном говорят о соответствии тому, тому и вот тому.
          Но тут мне щас возразят и спросят, что я считаю безопасностью и тут мнения могут разойтись: количество дыр, защищенность активов, соответствие чему-то, удельное количество повешенных на единицу времени итд...

          Комментарий


          • #6
            Коллеги, разделяя термины "архитектура" и "стратегия" я руководствуюсь междунарождными стандартами и практиками построения архитектуры предприятия или ИТ - TOGAF, DoDAF, FEAF, Захман и т.п.

            Комментарий


            • #7
              Сообщение от UzbekRus Посмотреть сообщение
              СТО БР можно считать и тактикой и целью в зависимости от того, кто будет считать.
              Я пока еще не встречал организаций, которым действительно необходима безопасность, в основном говорят о соответствии тому, тому и вот тому.
              Таков менталитет. У нас незрелый рынок и система регулирования. Как следствие - любой грамотный руководитель (он же выскоуровневый риск-менеджер) хорошо видит реальные опасности для бизнеса.А ИБ в большинстве случаев предстает как шаманство с жертвоприношениями.
              Сообщение от Алексей Лукацкий Посмотреть сообщение
              Коллеги, разделяя термины "архитектура" и "стратегия" я руководствуюсь междунарождными стандартами и практиками построения архитектуры предприятия или ИТ - TOGAF, DoDAF, FEAF, Захман и т.п.
              Ключевое слово - технологической архитектуры. Структурный подход (framework) требовался для того, чтобы множество разработчиков, работающих над комплексными проектами, не выглядели, как лебедь, рак и щука.
              Что касается ИБ - то в пределе она должна стать имманентной характеристикой информационных технологий. ИТ всегда первична, ИБ всегда вторична. Можно конечно говорить о некой субархитектуре ИБ, но реально ее нужно воспринимать, как подпорки для строительных лесов. Задача скорее стоит так - научиться отслеживать, где и какие подпорки необходимо ставить. Все остальные высокие материи придумали маркетологи, чтобы выкачивать деньги, что особенно в России выглядит очень грубо.
              Последний раз редактировалось AndrewZ; 07.03.2010, 22:36.

              Комментарий


              • #8
                Мне видится, что должно быть закреплено в Стратегии, что любой процесс, любой ИР, любая ИС должна быть защищена. Все технологии должны иметь такое свойство как масштабируемость.
                Защита от внутренних угроз: перечень технологий (без средств)
                Защита от внешний угроз: перечень технологий (без средств)

                2 У меня к экспертам практический вопрос:
                По той же персоналке хосты нужно защищать антивирусом, правами, аудитом, ИДСом, сетевым экраном, контролем целостности итд. Может имеет смысл ставить какой-нибудь продвинутый HIPS типа CSA? Пусть на обучение и тестирование уйдет больше денег и времени, зато сразу перекрываем по максимуму.
                Или же "по старинке" навешивать на хост: антивир, девайс*, что то для целостности, политикой включать аудит и процее.
                Сорри, что не в отдельной ветке.

                Комментарий


                • #9
                  Сообщение от AndrewZ Посмотреть сообщение
                  Ключевое слово - технологической архитектуры. Структурный подход (framework) требовался для того, чтобы множество разработчиков, работающих над комплексными проектами, не выглядели, как лебедь, рак и щука.
                  А причем тут технологическая архитектура? Я говорил об архитектуре предприятия в первую очередь. ИТ-архитектура, ее составляющая, как и многие другие.

                  Сообщение от AndrewZ Посмотреть сообщение
                  Что касается ИБ - то в пределе она должна стать имманентной характеристикой информационных технологий. ИТ всегда первична, ИБ всегда вторична.
                  Классическая ошибка ;-) В термине ИБ нет ни слова про технологии. Это информационная безопасность. А информация может быть не только в виде битов и байт, но и в виде бумаг, устной речи... И все это надо защищать. А ИТ этим не занималась и никогда не будет. Так что ИБ - это тот же уровень иерархии, что и ИТ.

                  А вот IT Security - это подуровень в ИТ, тут я согласен. И она будет частью ИТ-архитектуры. Но это не ИБ; хотя так и считают многие ;-(

                  Комментарий


                  • #10
                    Сообщение от UzbekRus Посмотреть сообщение
                    По той же персоналке хосты нужно защищать антивирусом, правами, аудитом, ИДСом, сетевым экраном, контролем целостности итд. Может имеет смысл ставить какой-нибудь продвинутый HIPS типа CSA?
                    Почему нет? У вас в документах указаны механизмы защиты, а не средства.

                    Комментарий


                    • #11
                      Вот, что пока получается:

                      СТРАТЕГИЯ И ТАКТИКА
                      информационной безопасности
                      АКБ «Банк»


                      1. Описание стратегии информационной безопасности Банка

                      1.1. Наше общество живем в век информационных технологий.
                      1.2. Информационные технологии проникают по все области.
                      1.3. Банк ставит перед собой цель повысить эффективность использования информационных систем.
                      1.4. Банк ставит перед собой цель увеличить бесперебойность в работе своих информационных систем.
                      1.5. Банк признаёт важность защиты активов (информационных ресурсов).
                      1.6. Банк признаёт необходимость информационной безопасности.
                      1.7. Информационной безопасностью должны заниматься все сотрудники Банка, а не только менеджмент.
                      1.8. Банк понимает основные риски информационной безопасности и будет развивать средства контроля для защиты от внутренних и внешних угроз.
                      1.9. Информационная безопасность повысит уровень доверия партнеров и клиентов Банка.
                      1.10. Информационная безопасность позволит существенно снизить риски «обращения внимания» надзорными и контрольными органами в результате не соответствия требованиям ИБ.
                      1.11. Банк сделает процесс обеспечения информационной безопасности частью корпоративной культуры.
                      1.12. Банк будет постоянно развивать и совершенствовать систему менеджмента информационной безопасности.
                      1.13. Банк заявляет следующие цели данной стратегии:
                      - информационная безопасность модели ведения бизнеса,
                      - соответствие стандарту безопасности Банка России.

                      2. Описание тактики информационной безопасности Банка.

                      2.1. На первом этапе в штатном расписании Банка будет введена должность специалиста по ИБ. По мере увеличения количества задач по данному направлению, а также работам по внедрению и поддержке подсистем ИБ будет организован отдел ИБ.
                      2.2. Будет разработана программа для сотрудников банка о повышении осведомленности о роли и важности ИБ, ставшую частью корпоративной культуры.
                      2.3. Будет проведена инвентаризация активов (информационных ресурсов).
                      2.4. Будет проведена инвентаризация процессов.
                      2.5. Будет разработана модель угроз (атак) и модель нарушителей.
                      2.6. Будут разработаны основные политики по ИБ.
                      2.7. Основными политиками будут являться следующие документы:
                      - Политика ИБ (документ верхнего уровня, без детализации по категориям и подсистемам),
                      - Правила соблюдения требований ИБ сотрудниками (должны быть прописаны все аспекты соблюдения ИБ персоналом),
                      - Положение об антивирусном контроле (есть понимание важности эшелонированной антивирусной обороны, будут использоваться решения различных вендоров),
                      - Положение о Резервном копировании (есть понимания о разделении резервного копирования и архивирования данных, должно использоваться шифрование данных, а также хранений архивных копий не на территории Банка).
                      - Положение о системе Клиент-Банк (должна быть продумана ИБ всех подсистем, входящих в эту систему, а также вся юридическая составляющая вопроса),
                      - Положение об АБС (должна быть продумана ИБ всех подсистем, входящих в эту систему),
                      - Положение о категорировании информационных ресурсов (принципы разделения ресурсов на общедоступные, и ограниченного доступа, такие как банковская, коммерческая тайны, а также информация для внутреннего использования).
                      - Положение о персональных данных (должно включать в себя категории персональных данных, используемые Банком, классификацию ИСПДн в соответствии с законодательными актами, перечень должностных лиц допущенных к их обработки),
                      - Модель угроз (атак) и модель нарушителя для всех систем, включая выделенные подсистемы ИСПДн,
                      2.8. Ежегодно будут составляться планы мероприятий по усилению ИБ. Орган по ИБ будет работать в соответствии с текущим планом с предоставлением руководству Банка отчетов о их выполнении.
                      2.9. Ежегодно, а также после всех значимых изменениях Банк будет проводить внутренний и (или) внешний аудит на соблюдение политик ИБ, а также анализ защищенности всех информационных ресурсов. Будет внедрена подсистема обнаружения уязвимостей.
                      2.10. Система менеджмента ИБ будет реализована по схеме: Планирование – Выполнение – Проверка – Актуализация (цикл).

                      3. Технологии

                      Так как одни и те же технологии могут применяться как для защиты от внутренних, так и внешних угроз, данное деление является условным.

                      3.1. Технологии, используемые для защиты от внешних угроз:
                      - антивирусные системы,
                      - антиспамовая система,
                      - система предотвращения сетевых угроз (атак),
                      - система категорирования ресурсов сети Интернет.

                      3.2. Технологии, используемые для защиты от внутренних угроз:
                      - разграничения прав доступа,
                      - контроль использования портов и интерфейсов,
                      - системы предотвращения утечек,
                      - двухфакторная аутентификация.

                      3.3. Прочие технологии
                      - системы корреляции событий информационной безопасности,
                      - система автоматического изменения прав доступа в зависимости от должностных обязанностей сотрудника.


                      Согласования:

                      Комментарий


                      • #12
                        А оценка достижения и оптимальности достижения целей?

                        Комментарий


                        • #13
                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          А причем тут технологическая архитектура? Я говорил об архитектуре предприятия в первую очередь. ИТ-архитектура, ее составляющая, как и многие другие.
                          Притом, что в конечном счете это архитектура технологических процессов, коими является бизнес с генерацией хотя бы маломальской добавочной стоимости.

                          Сообщение от Алексей Лукацкий Посмотреть сообщение
                          Классическая ошибка ;-) В термине ИБ нет ни слова про технологии. Это информационная безопасность. А информация может быть не только в виде битов и байт, но и в виде бумаг, устной речи... И все это надо защищать. А ИТ этим не занималась и никогда не будет. Так что ИБ - это тот же уровень иерархии, что и ИТ.

                          А вот IT Security - это подуровень в ИТ, тут я согласен. И она будет частью ИТ-архитектуры. Но это не ИБ; хотя так и считают многие ;-(
                          А я умышленно ограничился областью IT Security, поскольку архитектура ИБ, о которой шла речь, не существует в единообразном виде во всей сфере ИБ. На примере IT Security как раз видно, что самостоятельной архитектуры там как таковой нет.

                          Комментарий


                          • #14
                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                            А оценка достижения и оптимальности достижения целей?
                            Вы имеете в виду приплести сюда какие-нибудь метрики и считать по ним: количество дыр, количество эпидемий, количество расстрелянных, чтобы делать выводы о том, что мы на правильном пути?

                            Комментарий


                            • #15
                              Сообщение от UzbekRus Посмотреть сообщение
                              Вы имеете в виду приплести сюда какие-нибудь метрики и считать по ним: количество дыр, количество эпидемий, количество расстрелянных, чтобы делать выводы о том, что мы на правильном пути?
                              Нет ;-) Это метрики не для стратегии, а для отдельных продуктов. Никакого значения для бизнеса они не имеют. У вас ведь есть какие-то цели? Соответственно должны быть реперные точки их достижения. Если вы все-таки в качестве цели берете СТО, то в качестве метрик у вас должно быть достижение определенного уровня (4-5) в течение такого времени. Это если по крупному.

                              Комментарий


                              • #16
                                Сообщение от UzbekRus Посмотреть сообщение
                                Вот, что пока получается:

                                СТРАТЕГИЯ И ТАКТИКА
                                информационной безопасности
                                АКБ «Банк»
                                Чтобы я еще добавил (в порядке прихода мыслей в голову):
                                1. Бизнес-инициативы банка
                                2. Область рассмотрения стратегии
                                3. Основные ИБ-инициативы, увязанные с п.1
                                4. Ресурсы, требуемые для п.3
                                5. Риски
                                6. Структура ИБ-службы, необходимая для достижения п.1 и 3
                                7. Текущая ситуация с ИБ (чтобы было понятно, от чего отталкиваешься).

                                ЗЫ. Еще неплохо для себя понять аудиторию для этой стратегии. Сразу все встанет на свои места и станет понятно, будет ли CEO или CFO читать про антиспамовые системы или положения о резервном копировании.

                                Комментарий


                                • #17
                                  Сообщение от AndrewZ Посмотреть сообщение
                                  Притом, что в конечном счете это архитектура технологических процессов, коими является бизнес с генерацией хотя бы маломальской добавочной стоимости.
                                  Технологических? Вот возьмем процес M&A, к примеру. Это технологический процесс? Или слово "технология" в данном контексте отличается от того, что применяется в термине "ИТ"?


                                  Сообщение от AndrewZ Посмотреть сообщение
                                  А я умышленно ограничился областью IT Security, поскольку архитектура ИБ, о которой шла речь, не существует в единообразном виде во всей сфере ИБ. На примере IT Security как раз видно, что самостоятельной архитектуры там как таковой нет.
                                  Где не существует?

                                  Комментарий


                                  • #18
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Технологических? Вот возьмем процес M&A, к примеру. Это технологический процесс? Или слово "технология" в данном контексте отличается от того, что применяется в термине "ИТ"?
                                    Предпочитаю следующее определение технологии - это основанный на знаниях способ использования ресурсов для достижения требуемого результата. Практически любой продуманный процесс является технологическим. Вопрос только в том, что называть ресурсом.
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Где не существует?
                                    Рассматривая ИБ как многопрофильную дисциплину, нельзя создать единую архитектуру информационной безопасности, поскольку большая ее часть изменчива, т.к. является составной частью и зависит от технологических процессов, которые она призвана защищать.

                                    Комментарий


                                    • #19
                                      Сообщение от AndrewZ Посмотреть сообщение
                                      Рассматривая ИБ как многопрофильную дисциплину, нельзя создать единую архитектуру информационной безопасности, поскольку большая ее часть изменчива, т.к. является составной частью и зависит от технологических процессов, которые она призвана защищать.
                                      Почему нельзя? Архитектуру предприятия можно. Архитектуру ИТ можно. А архитектуру ИБ нельзя? Это же архитектура, а не детальная спецификация. И поэтому ей наплевать на мелкие изменения процессов, а крупные - она и так учитывает. Ведь у вас процессы меняются не абы как, а запланировано. Поэтому такие изменения находят свое отражение в архитектуре.

                                      Комментарий


                                      • #20
                                        Сообщение от Алексей Лукацкий Посмотреть сообщение
                                        Чтобы я еще добавил (в порядке прихода мыслей в голову):
                                        ...
                                        4. Ресурсы, требуемые для п.3
                                        ...
                                        ЗЫ. Еще неплохо для себя понять аудиторию для этой стратегии.
                                        Ну понятно, что надо знать размер казны и широту лиц публики до того, как предлагать что-либо строить.
                                        Алексей, а что вы имели в виду под уровнем соответствия 4-5? Там же в методике 0.85-1 заявлены как необходимые и достаточные.

                                        Комментарий


                                        • #21
                                          Сообщение от UzbekRus Посмотреть сообщение
                                          Ну понятно, что надо знать размер казны и широту лиц публики до того, как предлагать что-либо строить.
                                          Алексей, а что вы имели в виду под уровнем соответствия 4-5? Там же в методике 0.85-1 заявлены как необходимые и достаточные.
                                          Они трнслируются в уровни от 0 до 5. 0,85 - 1,0 - это и есть 4-5.

                                          Комментарий


                                          • #22
                                            Сообщение от Алексей Лукацкий Посмотреть сообщение
                                            Нет ;-) Это метрики не для стратегии, а для отдельных продуктов. Никакого значения для бизнеса они не имеют. У вас ведь есть какие-то цели? Соответственно должны быть реперные точки их достижения. Если вы все-таки в качестве цели берете СТО, то в качестве метрик у вас должно быть достижение определенного уровня (4-5) в течение такого времени. Это если по крупному.
                                            Ну почему же. Это один из инструментов показать, что банк ведёт мониторинг операционных рисков, а это, в свою очередь, повышает банк в глазах проверяющих из ЦБ

                                            Комментарий


                                            • #23
                                              Сообщение от Алексей Лукацкий Посмотреть сообщение
                                              Почему нельзя? Архитектуру предприятия можно. Архитектуру ИТ можно. А архитектуру ИБ нельзя? Это же архитектура, а не детальная спецификация. И поэтому ей наплевать на мелкие изменения процессов, а крупные - она и так учитывает. Ведь у вас процессы меняются не абы как, а запланировано. Поэтому такие изменения находят свое отражение в архитектуре.
                                              Архитектура в основном зависит от технологий. От них же зависят и складывающиеся процессы. Пример. Разработали вы архитектуру ИБ (части IT Security) исходя из архитектуры применяемых информационных технологий. В какой-то момент времени на арену выходит тема виртуализации и все используемые технологии помещаются в еще одну оболочку, что с точки зрения ИТ-архитектуры и процессов мало что меняет, а для архитектуры ИБ (части IT Security) это имеет более серьезные последствия. И так будет каждый раз, как будут возникать новые технологические вызовы. Готовы ли вы разработать архитектуру ИБ, которая останется жизнеспособной после того, как ваше предприятие решит вынести свою ИТ-инфраструктуру в облако?
                                              Это я веду к тому, что как самостоятельный продукт ИБ-архитектура имеет очень шаткое положение, чтобы серьезно на нее полагаться.
                                              Архитектура предприятия не может меняться очень сильно (кому хочется заниматься реинжинирингом бизнес-процессов без особых на то причин), ИТ-архитектура имеет большую степень свободы и должна претерпевать изменения, если это выгодно бизнесу. ИБ, болтающаяся в самом конце этой цепочки, вообще не может иметь монолитной концептуальной формы, потому, что в таком виде она нежизнеспособна в долгосрочном периоде.

                                              Комментарий


                                              • #24
                                                Сообщение от AndrewZ Посмотреть сообщение
                                                В какой-то момент времени на арену выходит тема виртуализации и все используемые технологии помещаются в еще одну оболочку, что с точки зрения ИТ-архитектуры и процессов мало что меняет,
                                                И что? Что мешало предусмотреть это в архитектуре? На то она и архитектура, чтобы оценивать не только нынешнее положение, но и учитывать будущие тенденции. Хотя я не очень соглашусь, что виртуализация мало что меняет. Если бы это было так, то ее бы повсеместно бы уже внедряли, а этого не происходит.

                                                Сообщение от AndrewZ Посмотреть сообщение
                                                а для архитектуры ИБ (части IT Security) это имеет более серьезные последствия. И так будет каждый раз, как будут возникать новые технологические вызовы.
                                                Которые замечательно прогнозируются ;-)

                                                Сообщение от AndrewZ Посмотреть сообщение
                                                Готовы ли вы разработать архитектуру ИБ, которая останется жизнеспособной после того, как ваше предприятие решит вынести свою ИТ-инфраструктуру в облако?
                                                Так уже ;-)

                                                Сообщение от AndrewZ Посмотреть сообщение
                                                Архитектура предприятия не может меняться очень сильно (кому хочется заниматься реинжинирингом бизнес-процессов без особых на то причин), ИТ-архитектура имеет большую степень свободы и должна претерпевать изменения, если это выгодно бизнесу. ИБ, болтающаяся в самом конце этой цепочки, вообще не может иметь монолитной концептуальной формы, потому, что в таком виде она нежизнеспособна в долгосрочном периоде.
                                                У вас есть бизнес-инициативы? Есть. Они решаются в том числе и с помощью ИТ. И ИТ в данном случае описывает в своей архитектуре, как эти бизнес-инициативы реализуются с помощью ИТ-проектов. А в ИБ-архитектуре вы детализируете, как решать ИТ-задачи с точки зрения ИБ. Что тут сложного? Если ИТ хаотически внедряет технологии (сегодня виртуализацию, завтра облако и т.п.), то ни о какой архитектуре в этом случае и речи нет. Это просто броуновское движение октябрят, которые узнали что-то новое и вот давай пытаться это внедрить у себя. А нужно это бизнесу или нет... никому до этого дела уже нет.

                                                Комментарий


                                                • #25
                                                  Сообщение от Berckut Посмотреть сообщение
                                                  Ну почему же. Это один из инструментов показать, что банк ведёт мониторинг операционных рисков, а это, в свою очередь, повышает банк в глазах проверяющих из ЦБ
                                                  Каких? Вот есть у вас информация по количеству дыр. Какой операционный риск она позволяет мониторить? Ни риск первого уровня (по Базель II), ни второго сюда никак не попадают.

                                                  У вас операционные риски на такой технический уровень детализации не опускаются. Максимум, что у вас есть (и что могут проверять) - кража информации, умышленное уничтожение активов, неразрешенные типы операций, злоупотребления конфиденциальной информацией, нарушения инструкций, деятельность без лицензии...

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    Каких? Вот есть у вас информация по количеству дыр. Какой операционный риск она позволяет мониторить? Ни риск первого уровня (по Базель II), ни второго сюда никак не попадают.

                                                    У вас операционные риски на такой технический уровень детализации не опускаются. Максимум, что у вас есть (и что могут проверять) - кража информации, умышленное уничтожение активов, неразрешенные типы операций, злоупотребления конфиденциальной информацией, нарушения инструкций, деятельность без лицензии...
                                                    Главное не победа, а участие

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                      И что? Что мешало предусмотреть это в архитектуре? На то она и архитектура, чтобы оценивать не только нынешнее положение, но и учитывать будущие тенденции. Которые замечательно прогнозируются ;-)
                                                      Алексей, смею вас заверить, что в подавляющем большинстве российских предприятий отсутствует уровень зрелости менеджмента, необходимый для того, чтобы описываемая ситуация стала явью.
                                                      У таких уникумов разработка ИБ-архитектуры, возможно, реализуема. Я же говорю о ситуации "в среднем по больнице".

                                                      Комментарий


                                                      • #28
                                                        Сообщение от AndrewZ Посмотреть сообщение
                                                        Алексей, смею вас заверить, что в подавляющем большинстве российских предприятий отсутствует уровень зрелости менеджмента, необходимый для того, чтобы описываемая ситуация стала явью.
                                                        У таких уникумов разработка ИБ-архитектуры, возможно, реализуема. Я же говорю о ситуации "в среднем по больнице".
                                                        Хочется стремиться к лучшему

                                                        Комментарий


                                                        • #29
                                                          Если ИТ хаотически внедряет технологии (сегодня виртуализацию, завтра облако и т.п.), то ни о какой архитектуре в этом случае и речи нет. Это просто броуновское движение октябрят, которые узнали что-то новое и вот давай пытаться это внедрить у себя. А нужно это бизнесу или нет...
                                                          Это может работать только в одном случае - если компания (корпорация) стоит на гребне волны развития технологий или вообще ее создает (например Cisco, MS, HP и далее по списку).
                                                          В остальных случаях или ИТ департамент где-то что-то узнает (публикации СМИ, Интернет) или топ-менеджмент подсмотрел - "а как же у соседа".
                                                          Поэтому развитие ИТ (и следовательно ИБ) в отдельно взятой компании/банке идет именно в хаотическом "броуновском движении октябрят", с оглядкой на "старших братьев"
                                                          И пресловутый уровень зрелости менеджмента тут не причем.

                                                          зы: В тоже время Стратегия развития ИТ/ИБ на обозримое будущее по уже известным технологиям все-таки должна быть. Только она (Стратегия) никогда не сможет учитывать то, что будет "за горизонтом" в ИТ.
                                                          Да пребудет с тобой Сила!

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Turkish Посмотреть сообщение
                                                            Это может работать только в одном случае - если компания (корпорация) стоит на гребне волны развития технологий или вообще ее создает (например Cisco, MS, HP и далее по списку).
                                                            В остальных случаях или ИТ департамент где-то что-то узнает (публикации СМИ, Интернет) или топ-менеджмент подсмотрел - "а как же у соседа".
                                                            Поэтому развитие ИТ (и следовательно ИБ) в отдельно взятой компании/банке идет именно в хаотическом "броуновском движении октябрят", с оглядкой на "старших братьев"
                                                            И пресловутый уровень зрелости менеджмента тут не причем.
                                                            "Броуновское движение октябрят" и есть следствие отсутствия зрелого менеджмента.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X