Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
IT аудит и аудит информационной безопасности
 
Как вы считаете, насколько сейчас востребована на российском (украинском) рынках услуга аудита информационной безопасности и (или) информационной инфраструктуры компании?
Каким компаниям такой аудит может быть полезен? С какой целью?
Какого уровня аудит (на соответствие стандартам или просто оценка текущего состояния)?
Как оценить стоимость проведения аудита?
Есть впечатление что глобальные аудиты на соответствие ISO, или услуги по подготовке к сертификации ISO, мало кому нужны вследствие их дороговизны и непонимания руководством компаний, за что собственно они платят деньги.
У кого есть реальный опыт или просто мнение - высказывайтесь :-)
 
Насчет, того насколько востребовано, не смогу сказать, но популярность вслед за усилением криминальных взломов растет по всему миру.
Аудит полезен прежде всего крупным компаниям с распределенной территориально структурой, компаниям имеющим технологические секреты, финансовым компаниям. Цель простая - сберечь то, что приносит тебе прибыль от конкурентов или диверсии.
Для начала, лучше провести оценку текущего состояния, посчитать затраты на исправление уязвимостей, а потом подумать о соответствии стандартам.
Стоимость обычно такая на какую договоришься ;)
А насчет сертификации на ISO - считаю, что она нужна только тем кто выходит на международный рынок и тем у кого серьезные секреты. Остальным, либо частично, либо нафик не нужна, ибо дорого, а человеческий фактор, IMHO, рушит любые системы защиты :(
 
на счет украинского рынка не знаю, а в России (в Москве точнее) аудит как деятельность находится на развивающейся стадии. Крупные конторы давно уже прониклись и пользуются такими услугами. Пока с их стороны идет основная активность, так и будет стоить бешенных бабок. Потому что никто не захочет делать его дешевле, а со временем, когда появятся больше организаций, обладающих лицензией на сертификацию, тогда и в массы пойдет. На сколько мне известно, самих лицензирующих фирм единицы, больше контор, которые подгатавливают к стандартизации, делают аудит. А непонимание со стороны руководства и отсутсвие бюджета у компании- это разные вещи. Такая инициатива должна по определению исходить от руководства, так как построена на управленческих решениях. Если компания работает на международном рынке, то процентная вероятность того, что буржуйский клиент прийдет именно к ним, резко возрастает пропорционально наличию международной сертификации. Если на примере, открывается представительство, допустим,  финского представительства коммерческой компании в России. Ну рыбой торговать приехали. Захотел он себе сайт оформить, мол наша рыба, самая рыбная рыба из рыб. Начинает изучать рынок, в котором нихера не понимает и натыкается на знакомое слово ISO. Дальше много цифр и страшные слова. Но ему не важно, потому что он знает на сто процентов- эта фирма гарантирует качественный сервис, по уровню не уступающему как на родине. Не самый удачный пример, но как вариант неайтишной деятельности.
Просто аудит важен для понимания, от куда может прийти проблема. и куда смотреть после случившейся неприятности. я считаю, что это самая перспективная область деятельности для молодых специалистов. Во первых: это всегда вкурсе новых технологий
Вторых: чем больше опыта, тем больше денег, тем круче заказы, тем больше рекламы, тем больше клиентов, тем больше опыта. второй виток пошел, есть куда развиваться вообщем.
 
Цитата
Publius пишет:
Насчет, того насколько востребовано, не смогу сказать, но популярность вслед за усилением криминальных взломов растет по всему миру.
Аудит полезен прежде всего крупным компаниям с распределенной территориально структурой, компаниям имеющим технологические секреты, финансовым компаниям. Цель простая - сберечь то, что приносит тебе прибыль от конкурентов или диверсии.
Для начала, лучше провести оценку текущего состояния, посчитать затраты на исправление уязвимостей, а потом подумать о соответствии стандартам.
Стоимость обычно такая на какую договоришься  
А насчет сертификации на ISO - считаю, что она нужна только тем кто выходит на международный рынок и тем у кого серьезные секреты. Остальным, либо частично, либо нафик не нужна, ибо дорого, а человеческий фактор, IMHO, рушит любые системы защиты  

Мне тоже кажется, что оценка текущего состояния - более востребованная услуга сейчас.
А какова методика оценки? Опросники, программный инструментарий? Если есть опыт, поделитесь плиз  :D
С чего начать, если нужно развить данное направление?
 
Вообще аудит в моем понимании - это проверка на соответствии чего либо чему либо. В терминах безопасности на соответствие например ISO 27001.

Оценка состояния тоже должна проводится на соответствие чего либо. Просто оценка текущего состояния это бесполезная услуга, так как она особо ничего не дает для бизнеса.

Например вы нашли что система не пропатчена. Говорите это заказчику. Он отвечает - ну и что все ок,  почему она должна быть пропатчена. В терминах простой оценки это не обьяснить. А если в соответствии со стандартом - то так требует стандарт.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Алексей Ушаков пишет:
Мне тоже кажется, что оценка текущего состояния - более востребованная услуга сейчас.
Как раз наоборот. Компании которые готовы вложить деньги в аудит (а услуга не из дешевых), хотят понимать зачем им он нужен и какие результаты они хотят увидеть. Поэтому аудит на соответствие стандарту наиболее обьективная для оценки методика.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Саня, не совсем так. Я принял немало реальных заказов на аудит ИБ, но ни разу никто из заказчиков не заказал аудит на соответствие стандартам ISO или ГОСтам.

Соответствие стандартам обычно требуется лишь для получение бумажки - сертификата или лицензии на что-то, а в реальной жизни такие проверки крайне мало востребованы
 
Цитата
Drunken Paladin пишет:
Саня, не совсем так. Я принял немало реальных заказов на аудит ИБ, но ни разу никто из заказчиков не заказал аудит на соответствие стандартам ISO или ГОСтам.

Соответствие стандартам обычно требуется лишь для получение бумажки - сертификата или лицензии на что-то, а в реальной жизни такие проверки крайне мало востребованы

Ну вот если Вам приходилось принимать немало РЕАЛЬНЫХ заказов на аудит ИБ, поделитесь пожалуйста, что хотят заказчики. И что получают в результате аудита. И вообзе у меня еще куча вопросов  ;)
Если конечно все это не военная тайна  :D
 
Цитата
Drunken Paladin пишет:
Я принял немало реальных заказов на аудит ИБ, но ни разу никто из заказчиков не заказал аудит на соответствие стандартам ISO или ГОСтам.
Миша, вообще Аудит это есть проверка на соответствии чему либо. А вообще я не спорю часто встречаются компании, которые сами не знаю чего хотят.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Александр Антипов пишет:
Миша, вообще Аудит это есть проверка на соответствии чему либо.

Есть же компании которые просто хотят независимую оценку текущей ситуации и предложения по улучшению. Это не аудит?
 
Цитата
Александр Антипов пишет:
Миша, вообще Аудит это есть проверка на соответствии чему либо

Например - Best Practice. Упомянутый тобой 27001 - это организационные вопросы, система управления информационной безопасностью.
Как конкретно должна быть реализована настройка межсетевого экрана в 27001 не написано. и в 17999 тоже. Но в ходе аудита это тоже проверяется. На соотвествие чему? Бест практис и зравый смысл...
Сейчас некоторые из продвинутых компаний, которым комплаенс не очень, нужен вышли на второй, цивилизованный уровень аудита, когда в качестве базы используется ИХ нормативка (требования, инструкции и т.д.). Естественно это работает если нормативка корректна. Но тенденция меня радует.
 
Цитата
offtopic пишет:
Например - Best Practice. Упомянутый тобой 27001 - это организационные вопросы, система управления информационной безопасностью.
К 27001 есть большой толмуд под названием "BEST Practice" :)
В нем в т.ч. и про файрвалл много чего написано.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
И все-таки - что востребовано заказчиками?
 
Цитата
Александр Антипов пишет:
К 27001 есть большой толмуд под названием "BEST Practice"

Он же не входит в стандарт, не так ли?
 
По ходу дела, на мои вопросы ответов я не получу.
 
Как вы считаете, насколько сейчас востребована на российском (украинском) рынках услуга аудита информационной безопасности и (или) информационной инфраструктуры компании?
Каким компаниям такой аудит может быть полезен? С какой целью?
Какого уровня аудит (на соответствие стандартам или просто оценка текущего состояния)?
Как оценить стоимость проведения аудита?
Есть впечатление что глобальные аудиты на соответствие ISO, или услуги по подготовке к сертификации ISO, мало кому нужны вследствие их дороговизны и непонимания руководством компаний, за что собственно они платят деньги.
У кого есть реальный опыт или просто мнение - высказывайтесь!
 
Цитата
Александр Антипов пишет:
К 27001 есть большой толмуд под названием "BEST Practice"  
В нем в т.ч. и про файрвалл много чего написано.

Подскажите, а где можно ознакомиться с ISO 27001, 17799, а в лучшем случае - и с этим "талмудом"? Полазил по просторам И-нета - не нашёл текста стандарта нигде.
 
стоимость - через почасовые ставки консультантов
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Сергей пишет:
Подскажите, а где можно ознакомиться с ISO 27001, 17799, а в лучшем случае - и с этим "талмудом"? Полазил по просторам И-нета - не нашёл текста стандарта нигде.
Они продаются на сайте www.bsi-global.com.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Irbis пишет:
Ну вот если Вам приходилось принимать немало РЕАЛЬНЫХ заказов на аудит ИБ, поделитесь пожалуйста, что хотят заказчики. И что получают в результате аудита. И вообзе у меня еще куча вопросов  
Если конечно все это не военная тайна  

Аудит, на текущий момент, это священная корова. Никто тебе ничего рассказывать не будет, а только предложит купить.

P.S. Ищи NIST'овские методики ;)
Страницы: 1 2 След.
Читают тему