18 ноября, воскресенье 23:54
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Роль и место стандартов по ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Роль и место стандартов по ИБ

    1)СТО БР - с ним всё понятно - в добровольно-принудительном порядке вскоре будет вместе с ПДн исполнен как отче наш всеми банками или как сказал главный - банков слишком много в стране.
    Вроде как бесплатный и покупать его не надо.
    2) PCI DSS - тоже понятно - процессинг есть или хотя бы 1 транзакция где то хранится извольте раз в год составить аудиенцию аудиторам. Вроде как тоже бесплатный.
    3) 2700х - а вот тут я недопонимаю. Любая контора может возомнить себя безопасной, выполнить кучу требований и также пройти аудит по этому стандарту. Глобалтраст продаёт эти самые стандарты в PDF и на бумаге. Стало быть его надо официально покупать, чтобы потом внедрять? Нужно ли когда пиши всякие политики (положения, правила, регламенты) то и дело ссылаться на пункты данного стандарта?
    4) 17799 - читал N раз. Недопонял, что с ним делать. Для кого он обязателен?

  • #2
    Стандарты по определению не являются обязательными, кроме тех случаев, когда обязвательность их применения установлена договором. К примеру, обязательность соответствия PCI DSS установлена договорами присоединения к международным платежным системам.

    Стандарты ISO 27001 и 17799 имеет смысл использовать только в том случае, если вам ну очень не хочется продумывать систему мер защиты с нуля и вы хотите использовать готовый скелет. ISO 17799 общими мазками описывает этот скелет, а ISO 27001 задает оценочные критерии. И вы совершенно правильно заметили, что даже скурпулезно следуя этим стандартам компания моежт возомнить себя защищенной, не являясь таковой по сути(об этом мы с Ригелем долго спорили, оставшись каждый при своем мнении).

    Покупать эти стандарты необязательно - например, если у вас есть специалист, знающий их наизусть, или если у вас есть подроные конспекты, то зачем же вам их покупать? Объекторм интеолектуальной собственности является текст стандарта, а не заложенные в него идеи и методы.

    Хотя я бы опирался не на эти стандарты, а на руководства NIST SP - они и общедоступны, и пользы от них как от руководства к действию больше на пару порядков

    Но в любом случае, "колхоз - дело добровольное".
    Последний раз редактировалось malotavr; 25.03.2010, 13:38.

    Комментарий


    • #3
      Сообщение от UzbekRus Посмотреть сообщение
      3) 2700х - а вот тут я недопонимаю. Любая контора может возомнить себя безопасной, выполнить кучу требований и также пройти аудит по этому стандарту. Глобалтраст продаёт эти самые стандарты в PDF и на бумаге. Стало быть его надо официально покупать, чтобы потом внедрять? Нужно ли когда пиши всякие политики (положения, правила, регламенты) то и дело ссылаться на пункты данного стандарта?
      Покупать не надо. Такого контроля в стандарте нету ))
      27001 - содержит требования (контроли). Их надо закрыть. Как это сделать указано по тексту стандарта.

      Сообщение от UzbekRus Посмотреть сообщение
      4) 17799 - читал N раз. Недопонял, что с ним делать. Для кого он обязателен?
      Содержит рекомендации. Требований в нем нет. Применяется для общего развития или как методичка к 27001.

      Комментарий


      • #4
        Сообщение от malotavr Посмотреть сообщение
        И вы совершенно правильно заметили, что даже скурпулезно следуя этим стандартам компания моежт возомнить себя защищенной, не являясь таковой по сути(об этом мы с Ригелем долго спорили, оставшись каждый при своем мнении).
        Вот 27001 досталось... Это относится ко всем стандартам. Или есть такие, выполнение требования которых позволяет себя возомнить защищенным?

        Комментарий


        • #5
          Сообщение от box_roller Посмотреть сообщение
          Вот 27001 досталось... Это относится ко всем стандартам. Или есть такие, выполнение требования которых позволяет себя возомнить защищенным?
          Есть
          Например, стандарты по настройке компонентов процессинга, которые каждый процессинг, по идее, должен для себя разраюботать.

          Комментарий


          • #6
            Сообщение от UzbekRus Посмотреть сообщение
            4) 17799 - читал N раз. Недопонял, что с ним делать. Для кого он обязателен?
            17799 обязателен для применения 27001 (стр. 2, "Ссылочные определения"). По поводу 27001 есть замечательная статья с исчерпывающим названием "ISO 27001 в России: модно и бессмысленно" (http://www.interface.ru/home.asp?artId=7268)

            Комментарий


            • #7
              Сообщение от malotavr Посмотреть сообщение
              Стандарты ISO 27001 и 17799 имеет смысл использовать только в том случае, если вам ну очень не хочется продумывать систему мер защиты с нуля и вы хотите использовать готовый скелет.
              Не согласен. 27001 имеет смысл использовать только в том случае, если выгоды от сертификации значительно превосходят затраты (например, если вы планируете сотрудничество с какими-то серьезными зарубежными партнерами). В остальных случаях связываться с ним бессмысленно: построить нормальную СУИБ можно и без него.

              Комментарий


              • #8
                О каких порядках сумм заходит речь, когда компания хочет повесить 27001 на стену?

                Комментарий


                • #9
                  Про стоимость внедрения никто заранее не скажет, аудит начинается от 100 т.р. (информация прошлогодняя) и выше.

                  Комментарий


                  • #10
                    Сообщение от Баян Посмотреть сообщение
                    Не согласен. 27001 имеет смысл использовать только в том случае, если выгоды от сертификации значительно превосходят затраты (например, если вы планируете сотрудничество с какими-то серьезными зарубежными партнерами). В остальных случаях связываться с ним бессмысленно: построить нормальную СУИБ можно и без него.
                    Не путайте внедрение стандарта и сертификацию соответствия ему. Вы можете ISO (или его положения) внедрять и без получения бумажки.

                    Комментарий

                    Пользователи, просматривающие эту тему

                    Свернуть

                    Присутствует 1. Участников: 0, гостей: 1.

                    Обработка...
                    X