Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Стандарты ISO 17799 и 27001, Где взять?
 
Цитата
Dem пишет:
Если вас не затруднит приведите ссылки пожалуйста где можно ознакомиться с этими вещами (переводами или описаниями переводов стандартов).

Так в этом же форуме уже давалась ссылка:
http://www.globaltrust.ru/shop/show_cat2.php?grid=1
 
Цитата
Ригель пишет:
Во-вторых, давайте различать внутренние резервы и прямые затраты. Человек, которому можно временно упилить некие другие обязанности, чтобы он описал свою процедуру, все равно сидит на зарплате.

Если, у вас есть люди, способные внятно описывать хотя бы свои внутренние процедуры, мы бы их у вас с удовольствием перекупили :)
 
Цитата
Александр Астахов пишет:
Так, например, если оценка рисков, указывает вам на необходимость использования смарт-карт или альтернативных методов строгой аутентификации
Будем друг-другу стандарт рассказывать? Владелец бизнеса может принять риск, если не может себе позволить закрыться. Более того: именно так он и поступает на самом деле.
Цитата
Александр Астахов пишет:
Ну, уж купить то всегда есть где  
Всегда есть, кому заплатить. Но они принесут шаблон, который на организацию нормально не ляжет.
Цитата
Александр Астахов пишет:
Это один из рекламных слоганов, придуманных маркетологами для одурачивания клиентов
+1
Цитата
Александр Астахов пишет:
если вы располагаете достаточной квалификацией, опытом, ресурсами, и ваше собственное время стоит значительно дешевле времени консультантов, то все можно делать своими руками
Напоминаю, что в рассматриваемой ситуации у безопасников нет денег. Но если есть люди, то СУИБ возможна.
Цитата
Александр Астахов пишет:
А если это независимый консультант, обладающий квалификацией и опытом внедрения
Опыт внедрения есть у тех, кто делал это на себе. А может получиться: "А Вы сами-то плавать умеете?" - "Нет, но Вы не первый, кто платит за мои курсы".
Цитата
Александр Астахов пишет:
Насколько эффективно и экономически обоснованно вы используете эти ресурсы и определяет вашу состоятельность как менеджера.
Если менеджер умеет работать только когда ресурсов с избытком - гнать его надо.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Будем друг-другу стандарт рассказывать? Владелец бизнеса может принять риск, если не может себе позволить закрыться. Более того: именно так он и должен поступить.

конечно, может принять или избежать или передать.... у нас опять получается пересказ стандарта.

Цитата
Всегда есть, кому заплатить. Но они продадут шаблон, который на организацию нормально не ляжет.

если нужен шаблон, продадут шаблон, если нужно на базе этого шаблона что-то разработать, в чем проблема когда умеючи то?

Цитата
Опыт внедрения есть у тех, кто делал это на себе. А может получиться: "А Вы сами-то плавать умеете?" - "Нет, но Вы не первый, кто платит за мои курсы".

Согласен насчет опыта, хорошо если на себе, но можно и на кроликах. Опытный хирург сам себе аппендицит не вырезает.

Цитата
Правильно. Но если менеджер умеет работать только когда ресурсов с избытком - гнать его надо.

Любой опытный менеджер знает, что ресурсов никогда не бывает с избытком.
 
Цитата
Ригель пишет:
Будем друг-другу стандарт рассказывать? Владелец бизнеса может принять риск, если не может себе позволить закрыться. Более того: именно так он и должен поступить.

конечно, может принять или избежать или передать.... у нас опять получается пересказ стандарта, вот как это на мозги однако действует  :)

Цитата
Всегда есть, кому заплатить. Но они продадут шаблон, который на организацию нормально не ляжет.

если нужен шаблон, продадут шаблон, если нужно на базе этого шаблона что-то разработать, в чем проблема когда умеючи то?

Цитата
Опыт внедрения есть у тех, кто делал это на себе. А может получиться: "А Вы сами-то плавать умеете?" - "Нет, но Вы не первый, кто платит за мои курсы".

Согласен насчет опыта и хорошо если на себе, но можно и на кроликах. Опытный хирург сам себе аппендицит не вырезает.

Цитата
Правильно. Но если менеджер умеет работать только когда ресурсов с избытком - гнать его надо.

Любой опытный менеджер знает, что ресурсов никогда не бывает с избытком.
 
Цитата
Ригель пишет:
Во-вторых, давайте различать внутренние резервы и прямые затраты.
А что они в разных валютах рассчитываются? :)

Цитата
Ригель пишет:
ПО? Какое ПО Вы имеете в виду?
А что без ПО можно сейчас систему безопасности внедрить? Или только на бесплатных альтернативах? сильно сомневаюсь.

Цитата
Ригель пишет:
И в-пятых, у нас с Вами несколько разный практический опыт во внедрении 7799, но в форуме я это обсуждать не буду.
Угу, хоть не считая сертификатов по 7799 и 27001, практического опыта у меня только на внедрение системы безопасности стоимостью несколько милионов долларов.

Владимир, какой консалтинг вы хотите, если со своими же айтишниками не можете договорится чтобы аудитору разрешили ноутбук к сети подключить для оценки защищенности? :)
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Александр Астахов пишет:
если нужен шаблон, продадут шаблон, если нужно на базе этого шаблона что-то разработать, в чем проблема когда умеючи то?
Согласен насчет опыта и хорошо если на себе, но можно и на кроликах. Опытный хирург сам себе аппендицит не вырезает.
Принципиальная поблема в том, что консультант не пользуется тем, что создается в результате его консалтинга, поэтому ему так редко удается сделать что-то жизнеспособное.

На текущий момент та фирма, которая пожелает прибегнуть к консалтингу по 17799, будет примерно вторым или третьим кроликом в биографии этого хирурга. Не завидую.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Принципиальная поблема в том, что консультант не пользуется тем, что создается в результате его консалтинга, поэтому ему так редко удается сделать что-то жизнеспособное.

На текущий момент та фирма, которая пожелает прибегнуть к консалтингу по 17799, будет примерно вторым или третьим кроликом в биографии этого хирурга. Не завидую.

Платите деньги и мы вам выпишем хирурга из Англии с сурдопереводом, который уже целое стадо кроликов перерезал. Да каких кроликов, скажу я вам. Счет выставлять?
 
Цитата
Александр Антипов пишет:
А что они в разных валютах рассчитываются?  

А что без ПО можно сейчас систему безопасности внедрить? Или только на бесплатных альтернативах? сильно сомневаюсь.

Угу, хоть не считая сертификатов по 7799 и 27001, практического опыта у меня только на внедрение системы безопасности стоимостью несколько милионов долларов.

Владимир, какой консалтинг вы хотите, если со своими же айтишниками не можете договорится чтобы аудитору разрешили ноутбук к сети подключить для оценки защищенности?
1. Их сложно сравнивать. В какой валюте расчитывается то, что Вы сами себе туфли чистите, а не у башмачника?

2. Можно внедрить без покупки дополнительного ПО. И вообще не надо путать теплое с мягким - СУИБ может внедряться даже на аналоговой АТС или в полностью бумажной конторе без лепестричества.

3. Внедрение системы менеджмента или какого-то технического средства?

4. Я не хочу консалтинга и не Владимир.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Александр Астахов пишет:
Платите деньги и мы вам выпишем хирурга из Англии с сурдопереводом, который уже целое стадо кроликов перерезал. Да каких кроликов, скажу я вам. Счет выставлять?
Из Англии я и сам могу, но в том-то и загвоздка:
- качество российских услуг пока не удовлетворяет;
- иностранцы не понимают российской культуры (в т.ч. документационной, управленческой и пр.).
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Из Англии я и сам могу, но в том-то и загвоздка:
- качество российских услуг пока не удовлетворяет;
- иностранцы не понимают российской культуры (в т.ч. документационной, управленческой и пр.).

Печальная картина вырисовывается. Наши балбесы работать не умеют, лишь бабла срубить наравят. К иностранцам вроде бы больше доверия, да они, к великому сожалению, не понимают нашей культуры, да еще и стоят в десятки раз дороже.

Видимо, действительно, единственный выход для вас - делать все самому. Искренне вам сочувствую. Сам был таким же (когда работал инженером) и представляю насколько это тяжело.
 
Цитата
Александр Астахов пишет:
Печальная картина вырисовывается. Наши балбесы работать не умеют, лишь бабла срубить наравят. К иностранцам вроде бы больше доверия, да они, к великому сожалению, не понимают нашей культуры, да еще и стоят в десятки раз дороже.

Видимо, действительно, единственный выход для вас - делать все самому. Искренне вам сочувствую. Сам был таким же (когда работал инженером) и представляю насколько это тяжело.
Да нет, "срубить по-легкому" это нормальная картина. Для этапа становления рынка.

Раз стало можно нанять строительную фирму или отдать машину в сервис и не вытрясать из них душу, чтобы они делали все по-человечески, то почему бы консалтингу по ИБ до этого не дорасти? Дорастет. Когда а) руку набьет, б) клиенты станут разборчивее.

Зы: Если Вам кажется, что дизайнить иб-шные бизнес-процессыэто быть инженером, а не менеджером - без проблем. Хоть горшком, как говорится.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Дорастет. Когда а) руку набьет, б) клиенты станут требовательнее.

ага, согласен, и еще платежеспособнее, например, как в Англии
жаль только жить в это время прекрасное уж не придется......... :)

Цитата
Если Вам кажется, что дизайнить иб-шные бизнес-процессыэто быть инженером, а не менеджером - без проблем. Хоть горшком, как говорится.

Насчет инженера, это я про себя говорил.
Кстати, почему то так происходит, что из инженера менеджера сделать можно, а вот обратный переход в природе не встречается.
 
Цитата
Александр Астахов пишет:
и еще платежеспособнее, например, как в Англии
Ну тут уж пардоньте - цена договорная, определяет рынок.
В рунете сейчас даже нормального комьюнити нет (по управлению деятельностью, а не техническими средствами), откуда ж взяться адекватной клиентуре.

Но рано или поздно клиентам станут нужны не общие сведения о стандартах (и тем более не их тексты), а постановка конкретных процессов. Скажем, хочу хороший мануал по служебному расследованию и последующему наказанию (8.2.3), чтобы по нему исполнители сразу смогли работать без додумывания и лишних вопросов, и ни один суд потом не подкопался. Заграница не поможет - много процессуальных тонкостей. Покажи-ка, какой российский консультант по ИБ это продает, а я время сэкономлю. Есть такой?
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
Но рано или поздно клиентам станут нужны не общие сведения о стандартах (и тем более не их тексты), а постановка конкретных процессов. Скажем, хочу хороший мануал по служебному расследованию и последующему наказанию (8.2.3), чтобы по нему исполнители сразу смогли работать без додумывания и лишних вопросов, и ни один суд потом не подкопался. Заграница не поможет - много процессуальных тонкостей. Покажи-ка, какой российский консультант по ИБ это продает, а я время сэкономлю. Есть такой?

Ну мануал то вам, допустим, продадут. Эка невидаль. Так ведь он опять не ляжет на ваши процессы. Значит потребуется его дорабатывать под вас. А чем вас существующий дисциплинарный процесс не устраивает уже известно?
 
Цитата
Александр Астахов пишет:
А чем вас существующий дисциплинарный процесс не устраивает
Поскольку пример был взят абстрактный (первый пришедший в голову контрол), то ответить  на этот вопрос проблематично.

Скажем, прежде этот процесс аутсорсился, но потом возбух профсоюз. Т.к. свои этим раньше не занимались и абсолютно ни в зуб ногой, мануал нужен подробный. (Кстати, в РФ нельзя говорить "дисциплинарный", поскольку это означает схему "нарушение правил трудового распорядка --> замечание/выговор/увольнение", ибо так трактует дисцплинарные проступки законодательство и влево-вправо уже ни-ни. Не знал?)

Может ли консультант, если он сам ни разу не сталкивался с наездами Госинспекции по труду из-за жалобы неграмотно репрессированного работника, продать профессиональную помощь? Только, извините, лоху. Но со временем их будет все меньше.

Зы: Ситуация отнюдь не фантастическая - этот контрол applicable в любой конторе и при любом анализе рисков.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
(Кстати, в РФ нельзя говорить "дисциплинарный", поскольку это означает схему "нарушение правил трудового распорядка --> замечание/выговор/увольнение", ибо так трактует дисцплинарные проступки законодательство и влево-вправо уже ни-ни. Не знал?)

Извини, не понял смысла данной ремарки. В 8.2.3 речь идет о дисциплинарном процессе.

Цитата
Может ли консультант, если он сам ни разу не сталкивался с наездами Госинспекции по труду из-за жалобы неграмотно репрессированного работника, продать профессиональную помощь? Только, извините, лоху. Но со временем их будет все меньше.

Такие документы разрабатываются с участием юристов и специалистов по кадрам. Задачей консультанта в данном случае будет связать существующий в организации дисциплинарный процесс с процессом управления инцидентами информационной безопасности, определить ответственность, меры пресечения, виды нарушений безопасности и т.п.
 
Цитата
Александр Астахов пишет:
Извини, не понял смысла данной ремарки. В 8.2.3 речь идет о дисциплинарном процессе.
Задачей консультанта в данном случае будет связать существующий в организации дисциплинарный процесс с процессом
В условиях РФ слово "дисциплинарный" занято, поэтому его нельзя переводить в лоб.
И присоседиться к нему - это те еще грабли, ибо очень редкое нарушение ИБ можно притянуть к трудовым обязанностям (часть 2 статьи 21 Трудового Кодекса), а только за их неисполнение или ненадлежащее исполнение можно законно наказывать.

К тому же я ничего не услышал про главное - сам порядок служебного расследования, ведь это же уголовное преследование в миниатюре (кстати, с ним тоже нельзя совпадать по терминологии). Там очень много вещей, которые должны быть определенным образом оформлены, т.к. это потенциальный предмет для судебной тяжбы. Ты точно уверен, что готов продавать корпоративный аналог уголовно-процессуального кодекса?
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Ригель пишет:
В условиях РФ слово "дисциплинарный" занято, поэтому его нельзя переводить в лоб.
И присоседиться к нему - это те еще грабли, ибо очень редкое нарушение ИБ можно притянуть к трудовым обязанностям (часть 2 статьи 21 Трудового Кодекса), а только за их неисполнение или ненадлежащее исполнение можно законно наказывать.  

Давайте внимательнее читать ТК РФ. На основании ст. 192 сотрудники, нарушающие требования политики безопасности организации, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы за неоднократное грубое нарушение дисциплины. Согласно ст. 238 все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный компании в результате нарушения ими правил политики безопасности. Сотрудник Компании несет материальную ответственность как за прямой действительный ущерб, непосредственно причиненный им работодателю, так и за ущерб, возникший у работодателя в результате возмещения им ущерба иным лицам. Сотрудники несут материальную ответственность в пределах своего среднего месячного заработка (Ст. 241), а согласно  ст. 243 за умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную),  в случаях, предусмотренных федеральными законами, сотрудники Компании несут материальную ответственность в полном размере причиненного ущерба.

Цитата
К тому же я ничего не услышал про главное - сам порядок служебного расследования, ведь это же уголовное преследование в миниатюре (кстати, с ним тоже нельзя совпадать по терминологии). Там очень много вещей, которые должны быть определенным образом оформлены, т.к. это потенциальный предмет для судебной тяжбы. Ты точно уверен, что готов продавать корпоративный аналог уголовно-процессуального кодекса?

Да участвовал я в служебных расследованиях на тему ИБ, в том числе и в качестве председателя соответствующих комиссий, однако понятие уголовного преследования в миниатюре мне неведомо. Я вообще то всегда считал, что уголовным преследованием занимаются уполномоченные государственные органы, а не служба ИБ организации.

Что касается рекомендаций по расследованию инцидентов ИБ, сбору, оформлению и хранению свидетельств (в том числе и для предоставления доказательств в суде), то это не засекреченная информация. Высокоуровневое описание соответствующих механизмов контроля имеется в стандарте. Требуется всего лишь обучить ваших людей, которые отвечают за управление инцидентами (есть много учебных курсов и книг на эту тему), а также в случае необходимости предоставить им соответствующие письменные инструкции, т.е. формализовать процесс.
 
Цитата
Александр Астахов пишет:
Давайте внимательнее читать ТК РФ
Давайте: только 192 это дисциплинарка, а все остальное - не она. И их не надо путать. И поэтому как только ты произносишь "дисциплинарный процесс", то попадаешь в рамки нарушение трудовой дисциплины --> замечание/выговор/увольнение.
Цитата
Александр Астахов пишет:
уголовным преследованием занимаются уполномоченные государственные органы, а не служба ИБ организации
А Волга впадает в Каспийское море. Но речь о подобии.
Цитата
Александр Астахов пишет:
а также в случае необходимости предоставить им соответствующие письменные инструкции
Наконец-то мы вернулись к инструкции. Разумеется, им нужна инструкция. Предполагается, что люди настолько безграмотны, что не отличают даже неосторожную вину от невиновного причинения вреда - иначе они бы не искали консалтинга. А описание контроля из стандарта у них и у самих есть.
Вот радио есть, а счастья нет. (с) Ильф
Страницы: Пред. 1 2 3 След.
Читают тему