28 февраля, воскресенье 20:59
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Вопрос выбора Scope

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Вопрос выбора Scope

    В этой ветке http://bankir.ru/dom/showthread.php?t=104800
    вопрос взаимоотношения головного офиса с филиалом перешел к вопросу выбора Scope.

    Ответы топик стартеру интересные, каждый, в чем-то, по своему правильный.

    Мне задали несколько вопросов по практике формулирования Scope, но я думаю,что проблемы области применения интересны сами по себе, а не только как инструмент политического неподчинения головному офису . Поэтому отвечу на вопросы в новой ветке, а оппоненты подтянуться...

    1.В общем особо интересует вопрос выбора Scope
    Опишите как вы выбирали Scope и как определяли, какие активы в нее входят!
    Мы делали все требования СУИБ обязательными для всего банка, включая филиалы, но для сертификации сузили Scope и выбрали наиболе важные для банка процессы - дистанционное обслуживание клиентов через Интернет.

    всего у нас было 3 группы процессов:
    1. основные
    2. вспомогательные
    3. сопутствующие


    подтверждаю, что для определения Scope нужно начать с бизнес процессов, т.е. основных процессов.
    Но мы начали с сопутствующих - тех, которые выходят за границу Scope, но связаны со Scope информационными потоками (Провайдеры, например) Мы определили какая информация поступает от клиентов и какая передается ему на выходе из Scope (через провайдеров)

    во внутрь группы основных процессов разместили все процессы, связанные с обработкой этой, поступившей от клиента информацией.

    Во вспомогательные процессы определили все процессы, связанные с основными и влияющие на них.

    Активы для каждого процесса учитывались только критичные, некритичные не рассматривали вовсе.

    2. Считали ли вы риски только для информационных активов или для всех?
    Мы волевым решением назвали "информационными активами" все активы. Т.е. и информацию и активы, влиящие на эту информацию (например дизель-генератор, кондиционеры, начальник службы ИБ и т.д). Жизнь показала правильность такого решения.
    Последний раз редактировалось Андрей Ерин; 27.01.2011, 18:15.

  • #2
    Сообщение от Tiger Посмотреть сообщение
    Подход хороший, но ..
    Андрей, то есть все процессы банка постарались охватить? И вспомогательные даже?
    А надо ли сразу так широко?
    А как определили область применения?


    А не лучше ли (и не проще ли главное) выделить сначала не критичные активы, а критичные бизнес-процессы???
    И все перечисленные в паспортах этих процессов активы уже включить в реестр критичных активов!
    Т.е. как писали в другой ветке (СМК – это стандарт ISO 9001):

    Цитата
    Исхожу из понятий:
    Основные бизнес-процессы – те, что позволяют организации зарабатывать.
    Они ориентированы на взаимодействие с внешними сторонами, потому еще их называют Внешние.
    Вспомогательные процессы – те, что необходимы для поддержания основных. Они же внутренние.

    Соответственно бизнесу в первую очередь интересны основные. Вспомогательные описываться также должны.. но после

    Почему нельзя так : "СМИБ процесса продажи услуг связи и технической поддержки клиентов ХХХX" ?
    В область действия включены бизнес-процессы (основные и описанные в СМК!):
    1.Продажа услуг связи
    - Продажи традиционных услуг связи
    - Продажи розничных услуг связи
    - Продажи услуг связи по агентской схеме
    2. Поддержка клиентов
    Они и составляют Scope т.е. активы + сотрудники, участвующих подразделений..

    И к всему этому уже применять риск-менеджмент
    Так вот.. для первого этапа.

    Конец цитаты
    выделить сначала критичные процессы, а потом взять вних все активы - это не эргономично. Даже в самых критичных процессах есть некритичные активы, незачем время на них терять.

    Комментарий


    • #3
      Сообщение от Андрей Ерин Посмотреть сообщение
      Мы волевым решением назвали "информационными активами" все активы. Т.е. и информацию и активы, влиящие на эту информацию (например дизель-генератор, кондиционеры, начальник службы ИБ и т.д). Жизнь показала правильность такого решения.
      Т.е. помещение это информационный актив? . Нет, можно и так конечно. Я пытаюсь понять надо ли. В целом по описанному вами алгоритму получаем гигантскую работу.
      Получается очень широкий Scope. Я вот хочу понять – можно ли его более узким сделать? В конце концов стандартизируем то мы процессы.. те самые что нам важны. Бизнесу то есть.

      Сообщение от Андрей Ерин Посмотреть сообщение
      выделить сначала критичные процессы, а потом взять вних все активы - это не эргономично. Даже в самых критичных процессах есть некритичные активы, незачем время на них терять.
      Дело в том , что описаны уже процессы в рамках ИСО9001! Все уже сделано, владельцы ИА определены, в приоритетные процессы руководство может пальцем показать, сам процесс детально описан в паспорте! Очень хочется воспользоваться результатами чужого труда!
      Переписываешь там активы и вперед. ИМХО конечно.

      А так .. Если как вы пишите
      Сообщение от Андрей Ерин Посмотреть сообщение
      В этой ветке http://bankir.ru/dom/showthread.php?t=104800
      Но мы начали с сопутствующих - тех, которые выходят за границу Scope, но связаны со Scope информационными потоками (Провайдеры, например) Мы определили какая информация поступает от клиентов и какая передается ему на выходе из Scope (через провайдеров)
      ну и вот если как выше описано
      СМИБ процесса продажи услуг связи и технической поддержки клиентов
      то с чего начать? Я не понимаю
      Что первично было в вашем подходе?
      Я так понимаю есть 2 варианта:
      1. сначала пишем ИА - после ищем процессы где они задействованы
      2. наоборот - выбираем критичные процессы - и смотрим на активы. и думаем как их защищать
      И вот тут ключевой момент в том, что искать процессы где есть перечисленные активы труднее, чем переписать активы из процессов!

      Сообщение от Андрей Ерин Посмотреть сообщение
      выделить сначала критичные процессы, а потом взять вних все активы - это не эргономично. Даже в самых критичных процессах есть некритичные активы, незачем время на них терять.
      Так вы же сами пишите!

      Сообщение от Андрей Ерин Посмотреть сообщение
      Активы для каждого процесса учитывались только критичные, некритичные не рассматривали вовсе.
      Т.е. не критичные не берем

      Можно кстати по одному примеру того и другого актива?
      Спасибо за содержательные ответы.

      Комментарий


      • #4
        Сообщение от Андрей Ерин Посмотреть сообщение
        В этой ветке http://bankir.ru/dom/showthread.php?t=104800
        вопрос взаимоотношения головного офиса с филиалом перешел к вопросу выбора Scope.
        Сообщение от Андрей Ерин Посмотреть сообщение
        сузили Scope и выбрали наиболе важные для банка процессы - дистанционное обслуживание клиентов через Интернет.
        Вопрос - можно ли выбирать такой Scope как в указанной выше ветке
        СМИБ корпоративной сети??
        Если да, то каков должен быть порядок действий дальше?
        Спасибо за тему, а то все заглохло вообще
        Последний раз редактировалось Dan А; 28.01.2011, 15:09.

        Комментарий


        • #5
          Сообщение от Dan А Посмотреть сообщение
          Вопрос - можно ли выбирать такой Scope как в указанной выше ветке
          СМИБ корпоративной сети??
          Если да, то каков должен быть порядок действий дальше?
          Спасибо за тему, а то все заглохло вообще
          нет, нельзя
          Если вам сказано заниматься сетями, то назовите процесс хотя бы "Управление ИТ-инфраструктурой"
          А к бизнесу в продажи лезть со своим СМИБом не спешите, головной боли получите сполна, а голова от вас только контроль сетей хочет
          P.S.: СМК- это конечно хорошо, но слизать с него много не получится

          Комментарий


          • #6
            Цитата:
            Сообщение от Dan А
            Вопрос - можно ли выбирать такой Scope как в указанной выше ветке
            СМИБ корпоративной сети??
            Если да, то каков должен быть порядок действий дальше?
            Спасибо за тему, а то все заглохло вообще

            нет, нельзя
            Если вам сказано заниматься сетями, то назовите процесс хотя бы "Управление ИТ-инфраструктурой"
            А к бизнесу в продажи лезть со своим СМИБом не спешите, головной боли получите сполна, а голова от вас только контроль сетей хочет
            P.S.: СМК- это конечно хорошо, но слизать с него много не получится
            ИМХО: зря так категорично про "нельзя" В Точке мы в Scope включили и бизнусовые процессы фронта по ДБО ЮЛ и ФЛ и процессы бэк-офиса, по обслуживанию указанных процессов фронта. Тут главное - четко понимать границы Scope: чего именно мы хотим добится выбрав именно этот Scope.

            Коллеги, в этой и соседней ветке, по инвентаризации, идет полемика по подходам к выбору Scope.
            Давайте уточним: для чего мы определяемся с областью применения СМИБ?
            Для сертификации по ISO 27001, для СТО БР ИББС, для соответствия требованиям 152-ФЗ, или просто по жизни хочется порядка??

            нюансы везде разные

            Комментарий


            • #7
              Сообщение от Андрей Ерин Посмотреть сообщение
              Давайте уточним: для чего мы определяемся с областью применения СМИБ?
              Для сертификации по ISO 27001, для СТО БР ИББС, для соответствия требованиям 152-ФЗ, или просто по жизни хочется порядка??

              нюансы везде разные
              Как я уже говорил - всерху спущено требование снедрение ISO27001 на области действия "корпоративная сеть"
              Требования обязательной сертификации голова не ставит.
              Однако, голова собирает раз в 1-2 года проводить аудит
              Потому, исходя из вашего определения, видимо это "по жизни хочется порядка".

              Комментарий


              • #8
                Сообщение от tomato Посмотреть сообщение
                нет, нельзя
                Если вам сказано заниматься сетями, то назовите процесс хотя бы "Управление ИТ-инфраструктурой"
                А к бизнесу в продажи лезть со своим СМИБом не спешите, головной боли получите сполна, а голова от вас только контроль сетей хочет
                P.S.: СМК- это конечно хорошо, но слизать с него много не получится
                Так а мне много и не надо от СМК - перечень активов и владельцы.
                Головную боль мы и так получим, т.к. задача выполнять работу по СМИБ поставлена. Потому, хотелось бы чтоб от нее был хотя бы какой-то смысл.
                Я всегда понимал, что сертифицируется в организации бизнес-процесс, а не часть активов.

                У нас же что мы сделали.. СМИБ КС - к нему относится только все то, что входит в КС.. информационные и неинформационные активы,
                люди и т.п.
                Причем косяки и вопросы возникают уже тут:
                - список активов я составил лично.. а не забыл ли я чего?
                - актив БД 1С - кто его владелец?? ИТ отдел получается.. А реально должны быть - владельцы бизнес-процессов, в которых эта БД задействована..
                - Все риски по ИБ я сосчитал сам по некой методике. А должны оны расчитываться по экспертной оценке,например.. с привлечение владельцев из бизнеса.. Но у нас же нет их - владельцы ИТ


                И вот смотрите.. выполнив все работы по ИСО27001 мы можем спросить себя - а какие бизнес-процессы мы защитили и потенциально сертифицировали?(и это не говоря о том, что хотелось бы поставить вопрос Какие важные для бизнеса процессы мы защитили)

                И что мы получаем? Берем процесс продажа услуг и паспорт от него и читаем
                1. Пользователь А зашел в свою ОС - во.. это наша область. И пользователь и ОС и принтер входят в КС.. записываем
                2. Пользователь А открыл со своего ПК БД биллинга (расположенную не в КС !) и занес туда клиента - хоп.. а это уже не наше .. БД клиентов - не наша область.
                И т.д !
                Получаем, что бизнес-процесс разорван нашей областью определения стандарта!
                Потому бизнес не понимает как защищены его бизнес-активы
                ИТ же - область вспомогательная.. как и ИБ, а потому никому не интересная. Интересная ИМХО она может стать если что то предложит интересное основным подразделениям.

                Т.е.все сделано, но ощущение полной формальности процесса.. отношение бизнеса безразличное.. как следствие такое же отношение у сотрудников

                И сравните, что было бы если б мы исходили из бизнес-процесса и его паспорта - переписали активы оттуда, взяли владельцев из паспортов, провели риски с участием владельцев активов..
                Последний раз редактировалось Dan А; 30.01.2011, 14:12.

                Комментарий


                • #9
                  Сообщение от Андрей Ерин Посмотреть сообщение
                  Давайте уточним: для чего мы определяемся с областью применения СМИБ?
                  Для сертификации по ISO 27001, для СТО БР ИББС, для соответствия требованиям 152-ФЗ, или просто по жизни хочется порядка??
                  нюансы везде разные
                  Вот.. И если речь про ИСО 27001,
                  Сообщение от Dan А Посмотреть сообщение
                  Как я уже говорил – сверху спущено требование внедрение ISO27001
                  то первоначально нужно прочитать хотя бы основные документы стандарта.. Или хотя бы ГОСТа
                  Как то..
                  ГОСТ Р ИСО/МЭК 27001-2006
                  ГОСТ Р ИСО/МЭК 27002-2005
                  ISO 27005 (или хоть BS7799-3)!

                  Вот что пишет последний про Scope

                  4.1.2 Область действия СУИБ

                  Определение области действия СУИБ является одним из наиболее важных решений во всем процессе, поскольку определение области действия описывает, какие элементы будет включать в себя СУИБ. Определение области действия СУИБ полностью зависит от организации.
                  Областью действия СУИБ может являться вся организация в целом, либо конкретный бизнес процесс или информационная система. Область действия СУИБ должна определяться в терминах характеристик бизнеса, его расположения, ресурсов и технологий (см. BS ISO/IEC 27001:2005,4.2.1 а)), она должна быть четко определенной и завершенной и охватывать различные элементы, упомянутые в BS ISO/IEC 27001:2005.
                  Решение относительно области действия СУИБ должно учитывать интерфейсы и взаимозависимости этой СУИБ с другими частями организации (находящимися вне области действия СУИБ), другими организациями, поставщиками третьей стороны или любыми другими субъектами, не входящими в СУИБ.
                  Примером является СУИБ, состоящая только из одного конкретного бизнес процесса. В этом случае, другие части организации, которые необходимы СУИБ для повседневного функционирования (например, кадровые ресурсы, финансы, продажи и маркетинг или коммунальные службы), являются интерфейсами и зависимостями, в дополнение к любым другим интерфейсам и зависимостям, которые могут существовать.
                  Область действия СУ И Б должна быть подходящей и соответствовать как возможностям
                  организации, так и ее ответственности за обеспечение информационной безопасности в соответствии с требованиями, определяемыми оценкой рисков и применимыми законодательными и нормативными механизмами контроля. В действительности, такая область действия абсолютно необходима организациям, стремящимся заявить о соответствии BS ISO/IEC 27001:2005 (см. 1.2 в BS ISO/IEC 27001:2005). Также, для того, чтобы заявить об этом соответствии, из области действия СУ И Б не должно быть исключено ничего, что оказывает влияние на способность и/или ответственность организации за обеспечение информационной безопасности в соответствии с требованиями, определяемыми оценкой рисков и применимыми нормативными требованиями.

                  Комментарий


                  • #10
                    Сообщение от Tiger Посмотреть сообщение
                    Областью действия СУИБ может являться вся организация в целом, либо конкретный бизнес процесс или информационная система. Область действия СУИБ должна определяться в терминах характеристик бизнеса, его расположения, ресурсов и технологий (см. BS ISO/IEC 27001:2005,4.2.1 а))
                    .
                    Вот этот 4.2.1
                    Область действия и границы СМИБ согласно ISO 27001 определяются «в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий, а также включая детальную информацию и обоснование для любых исключений из области действия»

                    Другими словами ОД будет считаться определенной, если указаны, входящие в данную ОД:
                    1) Направления бизнеса, его основные характеристики и бизнес процессы
                    2) Структурные подразделения, филиалы и прочие структурные единицы организации
                    3) Площадки: офисы, цеха, склады и т.п. и их расположение
                    4) ИТ активы (оборудование, ПО)
                    5) Информационные активы

                    Пересечение всех этих множеств и образует ОД.
                    Важно также, чтобы любые исключения из ОД были описаны и обоснованы. Т.е. при определении ОД вы должны описывать не только то, что в нее входит, но также и то, что в нее не включено, с указанием причин, по которым вы что-то исключаете из ОД.

                    Комментарий


                    • #11
                      Сообщение от Dan А Посмотреть сообщение
                      Как я уже говорил - всерху спущено требование снедрение ISO27001 на области действия "корпоративная сеть"
                      Требования обязательной сертификации голова не ставит.
                      Однако, голова собирает раз в 1-2 года проводить аудит
                      Потому, исходя из вашего определения, видимо это "по жизни хочется порядка".
                      "корпоративная сеть" - в наше время это вся организация. Если банк больше среднего, то желание объять не объятное может привести к пшику - все захлебнется на начальном уровне.

                      Т.к. вопрос о сертификации не стоит (??...зачем тогда все мутить? есть более простой вариант - СТО БР) то согласуйте с бизнесом несколько их наиболее критичных процесов, задокументируйте выбор - это и будут Ваши основные процессы. Вспомогательные процессы остануться теже.

                      дальше все как я уже писал - в процессах выбираете наиболее критичные активы, по ним наиболее критичные риски. Везде должны быть задокументированны эти контрольные уровни критичности, ниже которых вы не будете учитывать активы и риски.
                      Последний раз редактировалось Андрей Ерин; 31.01.2011, 15:03.

                      Комментарий


                      • #12
                        Сообщение от Андрей Ерин Посмотреть сообщение
                        "корпоративная сеть" - в наше время это вся организация. Если банк больше среднего, то желание объять не объятное может привести к пшику - все захлебнется на начальном уровне.
                        Совершенно согласен с вами, об чем и речь.. еще и при условии, что я один в этом направлении

                        Сообщение от Андрей Ерин Посмотреть сообщение
                        Т.к. вопрос о сертификации не стоит (??...зачем тогда все мутить? есть более простой вариант - СТО БР
                        1. Мы не банк, я отмечал уже ранее как-то
                        2. Спускание приказа сверху так-то вообще в нашей текущей жизни – это само по себе достаточный повод, чтоб все мутить и моего мнения никто не спрашивал. Тут вот хоть область действия б изменить – вот о чем речь..

                        Сообщение от Андрей Ерин Посмотреть сообщение
                        согласуйте с бизнесом несколько их наиболее критичных процесов, задокументируйте выбор - это и будут Ваши основные процессы. Вспомогательные процессы остануться теже.
                        дальше все как я уже писал - в процессах выбираете наиболее критичные активы, по ним наиболее критичные риски. Везде должны быть задокументированны эти контрольные уровни критичности, ниже которых вы не будете учитывать активы и риски.
                        Совет ваш понял, спасибо.
                        Я в этом направлении и думал.. хотел скорректировать свое понимание

                        Комментарий


                        • #13
                          1. Мы не банк, я отмечал уже ранее как-то
                          сорри, не читал


                          2. Спускание приказа сверху так-то вообще в нашей текущей жизни – это само по себе достаточный повод, чтоб все мутить и моего мнения никто не спрашивал. Тут вот хоть область действия б изменить – вот о чем речь..
                          Если область действия спустили сверху приказом, то изменить её границы нельзя! Какими бы нелепыми они не были. Можно обоснованно уменьшить объем работы.

                          возьмите максимально крупные процессы, мысленно сломайте каждый, если влияние процесса на общий бизнес не превысит заданный вами, или бизнесом, критерий, то исключайте процесс из обработки (но не из области действия).

                          Оформите все протоколом заседания Комитета ИБ - получите обоснование и реальный объем работы.

                          Комментарий

                          Обработка...
                          X