4 марта, четверг 21:13
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Взаимоотношения Центра и филиала в сфере ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Взаимоотношения Центра и филиала в сфере ИБ

    Уважаемые коллеги!
    Подскажите..
    В свете некоторых политических событий наша организация из дочернего юридически независимого от Головной организации общества видимо будет преобразована в филиал.
    В связи с этим получается.. что вся наша документация по ИБ теперь, после некоторой корректировки, должна полностью соответствовать документации в головной организации.
    Так я понимаю? Т.е. я понимаю, что мне надо у них и спросить (и я конечно спрошу), но интересует ваше мнение.
    Раньше мы имели все же некоторую свободу действий, хоть и в определенных рамках.
    Сейчас же уже пришла на утверждение от них типовая политика ИБ для филиала, где прописаны такое, например..
    “Целью ХХХ в области ИБ является выбор адекватных мер и средств обеспечения безопасности...”.
    ИМХО тут все же есть некая подмена понятий.. Т.е. сначала должны быть цели, а после меры и средства. Т.е. цели, упрощенно говоря, соблюдение КЦД, а уж для их достижения нужны меры.. , например, внедрение СМИБ.
    И получается, если я филиал, то влиять на это уже не могу?
    Или еще. У нас довольно неплохо развивается система менеджмента качества (СМК..ISO9001).
    Головная организация говорит о необходимости внедрение ISO27001.
    На вопросы необходимости такого шага мне опять же не повлиять – тут типичная ситуация, связанная с навязыванием стандарта сверху.
    Однако, хуже для меня то, что непонятно выбран Scope.
    Казалось бы.. выделяй приоритетные процессы из бизнес-процессов, описанных в СМК.. Например, (мы не банк, а организация связи) процесс Предоставление (продажа) услуг связи юридическому (физическому) лицу плюс процесс Техническая поддержка клиента и далее все по ISO27001 – выделение информационных активов и риск-менеджмент.
    Однако! Головная организация делает следующие Scope:
    1.Сеть предоставления услуг (говоря другими словами IP сеть).
    2.Сеть корпоративная. (КС) - т.е. наша внутренняя сеть.
    И далее предполагается разрабатывать СМИБ по этим двум направлениям (т.е. по каждому свой)..
    При этом, нам (будущему филиалу)сейчас поставлена задача по разработке стандарта только отдельно для КС.
    Ну и как это делать? Берем бизнес процесс и в нем часть действий относится к первому Scope, часть ко второму.. Оставляем то, что относится к Scope КС и переписываем активы.
    ИМХО польза от этого во много раз меньше, чем если б Scope охватывал только по указанным бизнес-процессам без разделения сетей.
    Более того, головная организация вообще предлагает просто переписать все существующие в КС активы.. и далее риск-менеджмент.
    Но ведь каждый актив (сервер, например) участвует во многих бизнес-процессах, а при переписывании активов про бизнес-процессы вообще ничего не говорится. Так же сложно определить владельца такого общего актива, определить его ценность и риски.
    И как вот на это повлиять я не знаю.
    Т.е. вопрос – что делать в этой ситуации.. ИМХО необходимо пытаться убедить руководство головной организации в необходимости изменения Scope. Или на свой страх делать внедрение так как я это понимаю.. Однако, через некоторое время будет обязательный внутренний аудит с их стороны.

  • #2
    Сообщение от Dan А Посмотреть сообщение
    Уважаемые коллеги!
    получается.. что вся наша документация по ИБ теперь, после некоторой корректировки, должна полностью соответствовать документации в головной организации.
    Так я понимаю?
    Интересно. Думаю именно так
    Также видимо стратегические и оперативные планы вразрез не должны идти. Может еще специалисты выскажутся

    Комментарий


    • #3
      Сообщение от Dan А Посмотреть сообщение
      Головная организация делает следующие Scope:
      1.Сеть предоставления услуг (говоря другими словами IP сеть).
      2.Сеть корпоративная. (КС) - т.е. наша внутренняя сеть.
      Это не Scope.

      Scope это вид деятельности организации (или процесс).

      Какие процессы (или процесс) входят в Scope? Предоставление Услуг чего? Поддержки... связи.. Какова точная формулировка?

      Комментарий


      • #4
        И получается, если я филиал, то влиять на это уже не могу?
        Ну зачем же так критично, Вы можете подготовить свой проект политики, для сглаживания углов лучше доработать присланный типовой документ под ваш филиал и согласовать его с головой. Если такой вариант не пойдет, то тогда тупо внедрять эту типовую политику и молчать. Но запастись хорошими аргументами и выложить их голове, заставив их задуматься все же стоит попробовать .

        Комментарий


        • #5
          Сообщение от box_roller Посмотреть сообщение
          Это не Scope.

          Scope это вид деятельности организации (или процесс).

          Какие процессы (или процесс) входят в Scope? Предоставление Услуг чего? Поддержки... связи.. Какова точная формулировка?
          Так я об этом и говорю, что это не Scope.
          Не знаю как это назвать.. Как бы вы это назвали?
          Наверно граница, что считать, а что нет.
          Официально внедряемый проект называется "СМИБ корпоративной сети ХХХX"
          Т.е. как бы границы выставлены можно сказать так - до файерволла... Разве так можно? Это я и спрашиваю
          И в том и дело, что нет там списка процессов входящих.

          Алгоритм предлагаемый какой..
          Исходные данные - Есть корпоративная сеть и информационные активы в ней..

          • информационные активы.
          К информационным активам относится любая информация независимо от формы представления, представляющая ценность для организации.

          • сервисы предоставляемые потребителям (конечным пользователям или приложениям),
          Например, электронная почта, обмен сообщениями, электронный документооборот, интерактивная работа, доступ в Интернет, сервисы голосовой и видео связи и т.д.;

          К внешним сервисам относятся любые обеспечивающие и внешние по отношению к области распространения СМИБ сервисы, от которых зависит функционирование основных сервисов.

          • физические активы.
          К физическим активам относятся элементы инфраструктуры и носители информации в любой форме.

          1. Переписываем все эти активы и составляем реестр активов
          2. Группируем некоторым образом активы. От Конфиденциальная информация высокого уровня доступности до Информация низкого уровня доступности.. отдельно выделяются сервисы и оборудование..
          Ну и все они проводятся через оценку рисков в соответствии с существующим перечнем угроз и уязвимостей


          Какой бы я предлагал Scope:
          Это внешние основные процессы организации
          - Продажа и маркетинг
          - Эксплуатация (обслуживание сети)
          - Поддержка клиентов

          Комментарий


          • #6
            Сообщение от Ерохин Сергей Посмотреть сообщение
            Ну зачем же так критично, Вы можете подготовить свой проект политики, для сглаживания углов лучше доработать присланный типовой документ под ваш филиал и согласовать его с головой. Если такой вариант не пойдет, то тогда тупо внедрять эту типовую политику и молчать. Но запастись хорошими аргументами и выложить их голове, заставив их задуматься все же стоит попробовать .
            Я так и сделал, правда попытался предложить изменить типовой шаблон не только для себя, а для всех филиалов. Это дело не прошло, без объяснений было отклонено. Мне вообще кажется, что дело в том, что головной организации делал все интегратор и они теперь ни от одного предложения не хотят отступать

            Комментарий


            • #7
              to Dan А

              Мой выбор: "СМИБ процесса технической поддержки корпоративной сети ХХХX".
              Далее расшифровка, что есть "корпоративная сеть". Акцент на то, что точно не есть сеть в рамках данного проекта, дабы облегчить работу по инвентаризации активов. На вопросы, "почему границы сети такие, а не такие...", ответ "мы не стремимся объять необъятное, а закладываем основу (фундамент) нашей СМИБ... а потом границы будут расширены и .. бла бла".

              Какой бы процесс вы бы не выбрали в область действия (scope) СМИБ, если он использует IT ресурсы, то техподдержка туда войдет обязательно.
              А если она (техподдержка) туда войдет полюбасу, то с нее и начните. В качестве первого этапа.

              Комментарий


              • #8
                Сообщение от box_roller Посмотреть сообщение
                to Dan А

                Мой выбор: "СМИБ процесса технической поддержки корпоративной сети ХХХX".
                Далее расшифровка, что есть "корпоративная сеть". Акцент на то, что точно не есть сеть в рамках данного проекта, дабы облегчить работу по инвентаризации активов. На вопросы, "почему границы сети такие, а не такие...", ответ "мы не стремимся объять необъятное, а закладываем основу (фундамент) нашей СМИБ... а потом границы будут расширены и .. бла бла".

                Какой бы процесс вы бы не выбрали в область действия (scope) СМИБ, если он использует IT ресурсы, то техподдержка туда войдет обязательно.
                box_roller
                Спасибо за ответы.

                Можно бы и так. Но..
                1. Дело в том, что процесс поддержки КС (называется у нас Внедрение и поддержка ИС)как раз не описан в СМК!
                А почему? Потому что он не основной.. Он внутренний и вспомогательный.
                Исхожу из понятий:
                Основные бизнес-процессы – те, что позволяют организации зарабатывать.
                Они ориентированы на взаимодействие с внешними сторонами, потому еще их называют Внешние.
                Вспомогательные процессы – те, что необходимы для поддержания основных. Они же внутренние.
                Соответственно бизнесу в первую очередь интересны основные. Вспомогательные описываться также должны.. но после

                А почему нельзя так : "СМИБ процесса продажи услуг связи и технической поддержки клиентов ХХХX" ?
                В область действия включены бизнес-процессы (основные и описанные в СМК!)
                1.Продажа услуг связи
                - Продажи традиционных услуг связи
                - Продажи розничных услуг связи
                - Продажи услуг связи по агентской схеме
                2. Поддержка клиентов
                Они и составляют Scope + сотрудники, участвующих подразделений и т.п.
                И к всему этому уже применять риск-менеджмент
                Так вот.. для первого этапа.

                Комментарий


                • #9
                  Сообщение от Dan А Посмотреть сообщение
                  box_roller
                  Спасибо за ответы.

                  Можно бы и так. Но..
                  1. Дело в том, что процесс поддержки КС (называется у нас Внедрение и поддержка ИС)как раз не описан в СМК!
                  А почему? Потому что он не основной.. Он внутренний и вспомогательный.
                  Исхожу из понятий:
                  Основные бизнес-процессы – те, что позволяют организации зарабатывать.
                  Они ориентированы на взаимодействие с внешними сторонами, потому еще их называют Внешние.
                  Вспомогательные процессы – те, что необходимы для поддержания основных. Они же внутренние.
                  Соответственно бизнесу в первую очередь интересны основные. Вспомогательные описываться также должны.. но после

                  А почему нельзя так : "СМИБ процесса продажи услуг связи и технической поддержки клиентов ХХХX" ?
                  В область действия включены бизнес-процессы (основные и описанные в СМК!)
                  1.Продажа услуг связи
                  - Продажи традиционных услуг связи
                  - Продажи розничных услуг связи
                  - Продажи услуг связи по агентской схеме
                  2. Поддержка клиентов
                  Они и составляют Scope + сотрудники, участвующих подразделений и т.п.
                  И к всему этому уже применять риск-менеджмент
                  Так вот.. для первого этапа.
                  Что входит в СМК неважно.
                  Никто не мешает использовать существующие процессы СМК для СМИБ... а конкретно от СМК можно взять процессы ИБ (не городить свои, а привязаться к существующим):
                  - Улучшение и развитие СМИБ;
                  - Мониторинг и анализ результативности СМИБ;
                  - Внутренние аудиты СМИБ.

                  Сообщение от Dan А Посмотреть сообщение
                  А почему нельзя так : "СМИБ процесса продажи услуг связи и технической поддержки клиентов ХХХX" ?
                  Можно.

                  Вот примеры выбранных scope для 27001: ТУТ и ТУТ. Похоже на ваш случай.

                  Комментарий


                  • #10
                    Сообщение от box_roller Посмотреть сообщение
                    Что входит в СМК неважно.
                    Никто не мешает использовать существующие процессы СМК для СМИБ...
                    Так как я понял мешает именно то, что процесса технической поддержки корпоративной сети у ТС не существует (т.е. он не описан пока) в СМК!
                    Процессы
                    - Улучшение и развитие СМИБ;
                    - Мониторинг и анализ результативности СМИБ;
                    - Внутренние аудиты СМИБ.

                    также вспомогательные (как и сам процесс обеспечения безопасности!) и вряд ли описаны в СМК.

                    По моему, правильный подход – это именно сначала описание в СМК самих бизнес-процессов (по ISO 9001), а уж после прикручивание к этим бизнес-процессам ИБ (т.е. ISO 27001).
                    Причем, что важно, в процедуре из СМК будут уже определен владелец процесса.
                    Если процессы даже не описаны, то как можно говорить об их безопасности?
                    Или нужно описывать эти отдельные выделенные бизнес-процессы прямо в процессе реализации ИСО27001.
                    Предлагаемый в первом посте подход с разделением сетей – это ИМХО типичный ИТ-ориентированный подход к ИБ
                    (как тут некоторые его называют ).
                    Т.е. когда информационные активы не привязывается ни к каким бизнес-процессам.. Когда инициатива по ИБ исходит от самих специалистов по ИТ (ИБ), которые формируют ни к чему не привязанные списки информационных, аппаратных и программных активов..
                    А потому представителям бизнеса это не интересно, так как непонятно что дает..
                    Если же оценить риски именно для важных бизнес-процессов, то можно эффективно (с точки зрения бизнеса) потратить те немногие деньги, что выделяют на ИБ.
                    На пальцах.. Есть у вас два сервера.. Вы их группируете в актив Сервера и защищаете одинаково.
                    На это требуется 2*N денег.
                    На самом же деле, после анализа бизнес-процессов, выясняется, что ни один из них в бизнес-процессах вообще не участвует! Они нужны для вспомогательных процессов и некритичны..
                    И денег нужно (по большому счету) 0*N

                    Комментарий


                    • #11
                      Сообщение от Tiger Посмотреть сообщение
                      Так как я понял мешает именно то, что процесса технической поддержки корпоративной сети у ТС не существует (т.е. он не описан пока) в СМК!
                      Процессы
                      - Улучшение и развитие СМИБ;
                      - Мониторинг и анализ результативности СМИБ;
                      - Внутренние аудиты СМИБ.

                      также вспомогательные (как и сам процесс обеспечения безопасности!) и вряд ли описаны в СМК.
                      мда... я не эксперт по СМК, но эти процессы вроде как обязательные.. без упоминания СМИБ конечно.
                      В СМК должны быть внутренние аудиты, анализ со стороны Руководства и процесс улучшения системы.

                      Комментарий


                      • #12
                        Обсуждение отклонился в сторону проблемы выбора Scope.
                        Думаю это правильно: политика взаимоотношения головного офиса и филиала - это сложная штука и имеет много ньюансов, не видных со стороны))
                        предлагаю вопросы Scope продолжить здесь:
                        http://bankir.ru/dom/showthread.php?...79#post2822879

                        Комментарий


                        • #13
                          Обсуждение отклонился в сторону проблемы выбора Scope.
                          Думаю это правильно: политика взаимоотношения головного офиса и филиала - это сложная штука и имеет много ньюансов, не видных со стороны))
                          предлагаю вопросы Scope продолжить здесь:
                          http://bankir.ru/dom/showthread.php?...79#post2822879

                          Комментарий

                          Обработка...
                          X