Стандарты у западопоклонников в особой чести: если нечто скреплено магическими буквами и цифрами, оно заведомо хорошо всем и вчетверо превосходит отечественные потуги, что уверенно округляется до двух порядков. ФирмА, че уж там! Хвалить их принято в режиме реального времени – одновременно с чтением. То есть не так чтобы изучил, дал улечься и выразил, а тырнул фразу через буфер и прямо на ходу ей восхитился, а за ней сразу другую тоже. Акын-стайл.
Приключилось тут опять воспользоваться ISO 27005 – ну капец ведь.
2700х – это система, комплекс. Нестройный, но славный 27001 отправляет выбирать меры из 27002 на основе анализа рисков (для краткости не буду перечислять идентификацию, анализ, измерение, оценку – здесь и далее просто анализ), а тот находится в 27005 как раз. Т.е. в пятерке мы имеем дело не с анализом риском вообще, а с типичным анализом рисков на предмет . Ну, отлично – заглядываем в собрата по исо27тыщ, чем же нам в конечном итоге предлагается защищаться. И вот тут жесть.
Потому что анализ рисков, он ведь у них устроен как: переписываем свои активы типа софт, железо, помещения, материальные носители, etc. и оцениваем их критичность с точки зрения последствий, потом пересекаем с угрозами, для которых определяем вероятность возникновения и легкость реализации (степень неуязвимости каждого актива к каждой угрозе, если так понятнее), и наконец все перемножаем к чертям собачьим.
Так вот это пересечение уже предопределило, что риски получатся вида «повреждение водой дела № 21-01-8К», «программный сбой межсетевого экрана» и «недоступность серверной для обслуживающего персонала». Оно-то хорошо, да Вы как потом из этого получите, что в организации должны быть вовлеченность руководства, обработка инцидентов или обучение по проблемам информбезопасности? Или даже интереснее - что чего-то из них не должно быть. Правильно – притягиванием. Нет ничего невозможного для человека с интеллектом.
Да только длина логической цепочки такова, что оценка теряет смысл. «Мы не можем мириться с риском ошибки оператора 22, поэтому <бла-бла-бла-бла-бла>с помощью внутреннего форума по информационной безопасности, который через <бла-бла-бла-бла-бла>снизит наш риск до 19». А почему бы тогда не до 17 или не с помощью тестирования аварийных процедур? Что толку, что Вы героическими усилиями 22 насчитали, если потом все равно вот эти «бла-бла-бла-бла-бла 11,43»?
Как бы это на пальцах… Что-то вроде: «возьмите буковую разделочную доску, измерьте площадь рабочей поверхности половника (не ошибитесь!), сварите борщ». Инструментарий Вам дают один, а результат хотят другой, почти не связанный.
Есть, конечно, «контроли» и с совсем короткой цепочкой риск – контрмера – остаточный риск (среди ста с хреном штук еще бы им не быть!), да сам механизм длинными уже дискредитирован. Что толку, что вот конкретно здесь Вы совершенно точно намерили 9, если рядом так посмотришь – вроде 3, а так – все 42.
Или вот тоже смешно. Какие-то защитные меры в организации могут быть уже внедрены – так пятерка советует их предварительно идентифицировать, чтобы потом не предложить для обработки рисков то, что и так есть. Это знаете для кого рекомендация? Для консалтера, который первый и последний раз эту СМИБ видит. От консалтера, который так их и видел.
В жизни 27005 тут отработает не так. Имеющаяся контрмера «просадит» соответствующие угрозы – Вы когда будете опрашивать экспертов, Вам их дадут за вычетом. Скажем, все привыкли, что система усиленной аутентификации усиленно аутентифицирует, и по НСД оценки будут спокойные. А потом придет аудитор исошный и спросит: «А вот у вас система усиленной аутентификации – она как из анализа рисков следует?». А она и не следует. А по исо27тыщ меры должны быть оправданы – надо выключать. Выключили – на следующий год вылез риск – включили – исчез риск – выключили – на следующий год вылез риск... Замечательная мигалка DIY, можете попробовать, главное буквально следовать.
И ведь 70 страниц понаписано. И ведь кто-то это с душой переводит.
Приключилось тут опять воспользоваться ISO 27005 – ну капец ведь.
2700х – это система, комплекс. Нестройный, но славный 27001 отправляет выбирать меры из 27002 на основе анализа рисков (для краткости не буду перечислять идентификацию, анализ, измерение, оценку – здесь и далее просто анализ), а тот находится в 27005 как раз. Т.е. в пятерке мы имеем дело не с анализом риском вообще, а с типичным анализом рисков на предмет . Ну, отлично – заглядываем в собрата по исо27тыщ, чем же нам в конечном итоге предлагается защищаться. И вот тут жесть.
Потому что анализ рисков, он ведь у них устроен как: переписываем свои активы типа софт, железо, помещения, материальные носители, etc. и оцениваем их критичность с точки зрения последствий, потом пересекаем с угрозами, для которых определяем вероятность возникновения и легкость реализации (степень неуязвимости каждого актива к каждой угрозе, если так понятнее), и наконец все перемножаем к чертям собачьим.
Так вот это пересечение уже предопределило, что риски получатся вида «повреждение водой дела № 21-01-8К», «программный сбой межсетевого экрана» и «недоступность серверной для обслуживающего персонала». Оно-то хорошо, да Вы как потом из этого получите, что в организации должны быть вовлеченность руководства, обработка инцидентов или обучение по проблемам информбезопасности? Или даже интереснее - что чего-то из них не должно быть. Правильно – притягиванием. Нет ничего невозможного для человека с интеллектом.
Да только длина логической цепочки такова, что оценка теряет смысл. «Мы не можем мириться с риском ошибки оператора 22, поэтому <бла-бла-бла-бла-бла>с помощью внутреннего форума по информационной безопасности, который через <бла-бла-бла-бла-бла>снизит наш риск до 19». А почему бы тогда не до 17 или не с помощью тестирования аварийных процедур? Что толку, что Вы героическими усилиями 22 насчитали, если потом все равно вот эти «бла-бла-бла-бла-бла 11,43»?
Как бы это на пальцах… Что-то вроде: «возьмите буковую разделочную доску, измерьте площадь рабочей поверхности половника (не ошибитесь!), сварите борщ». Инструментарий Вам дают один, а результат хотят другой, почти не связанный.
Есть, конечно, «контроли» и с совсем короткой цепочкой риск – контрмера – остаточный риск (среди ста с хреном штук еще бы им не быть!), да сам механизм длинными уже дискредитирован. Что толку, что вот конкретно здесь Вы совершенно точно намерили 9, если рядом так посмотришь – вроде 3, а так – все 42.
Или вот тоже смешно. Какие-то защитные меры в организации могут быть уже внедрены – так пятерка советует их предварительно идентифицировать, чтобы потом не предложить для обработки рисков то, что и так есть. Это знаете для кого рекомендация? Для консалтера, который первый и последний раз эту СМИБ видит. От консалтера, который так их и видел.
В жизни 27005 тут отработает не так. Имеющаяся контрмера «просадит» соответствующие угрозы – Вы когда будете опрашивать экспертов, Вам их дадут за вычетом. Скажем, все привыкли, что система усиленной аутентификации усиленно аутентифицирует, и по НСД оценки будут спокойные. А потом придет аудитор исошный и спросит: «А вот у вас система усиленной аутентификации – она как из анализа рисков следует?». А она и не следует. А по исо27тыщ меры должны быть оправданы – надо выключать. Выключили – на следующий год вылез риск – включили – исчез риск – выключили – на следующий год вылез риск... Замечательная мигалка DIY, можете попробовать, главное буквально следовать.
И ведь 70 страниц понаписано. И ведь кто-то это с душой переводит.
