Цитата |
---|
Dem пишет: Если вас не затруднит приведите ссылки пожалуйста где можно ознакомиться с этими вещами (переводами или описаниями переводов стандартов). |
Так в этом же форуме уже давалась ссылка:
20.10.2006 14:01:02
Так в этом же форуме уже давалась ссылка: |
|||
|
|
20.10.2006 14:53:21
Вот радио есть, а счастья нет. (с) Ильф
|
|||||||||||||
|
|
20.10.2006 15:28:04
конечно, может принять или избежать или передать.... у нас опять получается пересказ стандарта.
если нужен шаблон, продадут шаблон, если нужно на базе этого шаблона что-то разработать, в чем проблема когда умеючи то?
Согласен насчет опыта, хорошо если на себе, но можно и на кроликах. Опытный хирург сам себе аппендицит не вырезает.
Любой опытный менеджер знает, что ресурсов никогда не бывает с избытком. |
|||||||||
|
|
20.10.2006 15:29:25
конечно, может принять или избежать или передать.... у нас опять получается пересказ стандарта, вот как это на мозги однако действует
если нужен шаблон, продадут шаблон, если нужно на базе этого шаблона что-то разработать, в чем проблема когда умеючи то?
Согласен насчет опыта и хорошо если на себе, но можно и на кроликах. Опытный хирург сам себе аппендицит не вырезает.
Любой опытный менеджер знает, что ресурсов никогда не бывает с избытком. |
|||||||||
|
|
20.10.2006 15:51:56
Владимир, какой консалтинг вы хотите, если со своими же айтишниками не можете договорится чтобы аудитору разрешили ноутбук к сети подключить для оценки защищенности?
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
|
|||||||
|
|
20.10.2006 16:04:58
На текущий момент та фирма, которая пожелает прибегнуть к консалтингу по 17799, будет примерно вторым или третьим кроликом в биографии этого хирурга. Не завидую.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
20.10.2006 16:09:18
Платите деньги и мы вам выпишем хирурга из Англии с сурдопереводом, который уже целое стадо кроликов перерезал. Да каких кроликов, скажу я вам. Счет выставлять? |
|||
|
|
20.10.2006 16:35:20
2. Можно внедрить без покупки дополнительного ПО. И вообще не надо путать теплое с мягким - СУИБ может внедряться даже на аналоговой АТС или в полностью бумажной конторе без лепестричества. 3. Внедрение системы менеджмента или какого-то технического средства? 4. Я не хочу консалтинга и не Владимир.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
20.10.2006 16:40:24
- качество российских услуг пока не удовлетворяет; - иностранцы не понимают российской культуры (в т.ч. документационной, управленческой и пр.).
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
20.10.2006 16:55:49
Печальная картина вырисовывается. Наши балбесы работать не умеют, лишь бабла срубить наравят. К иностранцам вроде бы больше доверия, да они, к великому сожалению, не понимают нашей культуры, да еще и стоят в десятки раз дороже. Видимо, действительно, единственный выход для вас - делать все самому. Искренне вам сочувствую. Сам был таким же (когда работал инженером) и представляю насколько это тяжело. |
|||
|
|
20.10.2006 17:12:36
Раз стало можно нанять строительную фирму или отдать машину в сервис и не вытрясать из них душу, чтобы они делали все по-человечески, то почему бы консалтингу по ИБ до этого не дорасти? Дорастет. Когда а) руку набьет, б) клиенты станут разборчивее. Зы: Если Вам кажется, что дизайнить иб-шные бизнес-процессыэто быть инженером, а не менеджером - без проблем. Хоть горшком, как говорится.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
20.10.2006 17:43:00
ага, согласен, и еще платежеспособнее, например, как в Англии жаль только жить в это время прекрасное уж не придется.........
Насчет инженера, это я про себя говорил. Кстати, почему то так происходит, что из инженера менеджера сделать можно, а вот обратный переход в природе не встречается. |
|||||
|
|
20.10.2006 18:18:18
В рунете сейчас даже нормального комьюнити нет (по управлению деятельностью, а не техническими средствами), откуда ж взяться адекватной клиентуре. Но рано или поздно клиентам станут нужны не общие сведения о стандартах (и тем более не их тексты), а постановка конкретных процессов. Скажем, хочу хороший мануал по служебному расследованию и последующему наказанию (8.2.3), чтобы по нему исполнители сразу смогли работать без додумывания и лишних вопросов, и ни один суд потом не подкопался. Заграница не поможет - много процессуальных тонкостей. Покажи-ка, какой российский консультант по ИБ это продает, а я время сэкономлю. Есть такой?
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
21.10.2006 12:50:10
Ну мануал то вам, допустим, продадут. Эка невидаль. Так ведь он опять не ляжет на ваши процессы. Значит потребуется его дорабатывать под вас. А чем вас существующий дисциплинарный процесс не устраивает уже известно? |
|||
|
|
22.10.2006 23:03:19
Скажем, прежде этот процесс аутсорсился, но потом возбух профсоюз. Т.к. свои этим раньше не занимались и абсолютно ни в зуб ногой, мануал нужен подробный. (Кстати, в РФ нельзя говорить "дисциплинарный", поскольку это означает схему "нарушение правил трудового распорядка --> замечание/выговор/увольнение", ибо так трактует дисцплинарные проступки законодательство и влево-вправо уже ни-ни. Не знал?) Может ли консультант, если он сам ни разу не сталкивался с наездами Госинспекции по труду из-за жалобы неграмотно репрессированного работника, продать профессиональную помощь? Только, извините, лоху. Но со временем их будет все меньше. Зы: Ситуация отнюдь не фантастическая - этот контрол applicable в любой конторе и при любом анализе рисков.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
23.10.2006 10:47:56
Извини, не понял смысла данной ремарки. В 8.2.3 речь идет о дисциплинарном процессе.
Такие документы разрабатываются с участием юристов и специалистов по кадрам. Задачей консультанта в данном случае будет связать существующий в организации дисциплинарный процесс с процессом управления инцидентами информационной безопасности, определить ответственность, меры пресечения, виды нарушений безопасности и т.п. |
|||||
|
|
23.10.2006 14:55:15
И присоседиться к нему - это те еще грабли, ибо очень редкое нарушение ИБ можно притянуть к трудовым обязанностям (часть 2 статьи 21 Трудового Кодекса), а только за их неисполнение или ненадлежащее исполнение можно законно наказывать. К тому же я ничего не услышал про главное - сам порядок служебного расследования, ведь это же уголовное преследование в миниатюре (кстати, с ним тоже нельзя совпадать по терминологии). Там очень много вещей, которые должны быть определенным образом оформлены, т.к. это потенциальный предмет для судебной тяжбы. Ты точно уверен, что готов продавать корпоративный аналог уголовно-процессуального кодекса?
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
|
23.10.2006 16:53:12
Давайте внимательнее читать ТК РФ. На основании ст. 192 сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник Компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (Ст. 241), а согласно ст. 243 за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники Компании несут материальную ответственность в полном размере причиненного ущерба.
Да участвовал я в служебных расследованиях на тему ИБ, в том числе и в качестве председателя соответствующих комиссий, однако понятие уголовного преследования в миниатюре мне неведомо. Я вообще то всегда считал, что уголовным преследованием занимаются уполномоченные государственные органы, а не служба ИБ организации. Что касается рекомендаций по расследованию инцидентов ИБ, сбору, оформлению и хранению свидетельств (в том числе и для предоставления доказательств в суде), то это не засекреченная информация. Высокоуровневое описание соответствующих механизмов контроля имеется в стандарте. Требуется всего лишь обучить ваших людей, которые отвечают за управление инцидентами (есть много учебных курсов и книг на эту тему), а также в случае необходимости предоставить им соответствующие письменные инструкции, т.е. формализовать процесс. |
|||||
|
|
23.10.2006 17:55:55
Вот радио есть, а счастья нет. (с) Ильф
|
|||||||
|
|
||||||