Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Выбрать дату в календареВыбрать дату в календаре

Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.
Защита персональных данных по закону
 
1. Когда люди говорят, что требования закона неконкретны и именно это мешает им его применять, то возникает вопрос, а понимают ли они, что такое закон? Закон и не должен перечислять конкретные требования. Он требует, чтобы информация была защищена. Все. А ждать, что в законе будут перечислены технические рекомендации... До второго пришествия можно ждать.
2. Эксперты InfoWatch считают, что после принятия закона надо ждать появления федерального органа, ответственного за выработку требований и контроль исполнения. Так этот орган давно существует. Это ФСТЭК, на который Указ Президента давно возложены все функции, упомянутые в законе о персональных данных. И требования примерно тоже ясны - это СТР-К. Скорее надо ждать, когда СТР-К получат статус обязательных не только для госструктур.
3. И как обычно хочется придраться к последнему предложению всего исследования. Как посчитать, что инвестиции окупятся? И на основании чего делались выводы, что они окупятся вообще?
Luka
Американские компании обязаны хранить email сообщения и логии ICQ
 
Мне, как представителю американской компании, хотелось бы взглянуть на источник этой новости. А то как обычно бывает, журналист "слышал звон"...
Luka
Защита от своих
 
Цитата
Ригель пишет:
27001 пытались переводить одновременно с ISO 17799:2005, а принятый ГОСТ Р ИСО/МЭК это ISO 17799:2000.

Ах вот оно что... Меня смутило число 2005 в ГОСТ Р ИСО/МЭК 17799:2005. Теперь все встало на свои места.
Luka
Защита от своих
 
Цитата
Гость пишет:
Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 года N 447-ст утвержден и вводится в действие с 1 января 2007 года ГОСТ Р ИСО/МЭК 17799-2005.

А 27001? Его переводили примерно в тоже время.
Luka
Защита от своих
 
Цитата
Гость пишет:
Приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2005 года N 447-ст утвержден и вводится в действие с 1 января 2007 года ГОСТ Р ИСО/МЭК 17799-2005.

Забавно, учитывая, что мы только летом этого года давали на него заключение. А оказывается уже в прошлом году его утвердили. Но все равно, спасибо за информацию.
Luka
Защита от своих
 
Цитата
Олег Кузьмин (Alkor) пишет:
Послужив старшим офицером по ИБ Северного флота, а потом ведущим инженером ИБ, главным администратором ИБ в крупных и средних компаниях

Олег, можно вопрос? До 2002 года вы были кадровым офицером ВМФ. А сколько мест работы вы сменили после этого?
Luka
Защита от своих
 
Цитата
chinga пишет:
Мне кажется, это "пока" надолго затянется

 Насколько я помню, третью часть стандарта как раз по метрикам должны принять в 2007 году.

Цитата
chinga пишет:
Хоть стандарт и не панацея, но внедрять-то его надо (если Родина ,говорит, надо

 А кто говорить надо? ФСТЭК его перевел, но пока не сделал ГОСТом. К тому же ГОСТы у нас уже не являются обязательными. Особенно в области безопасности.

Цитата
chinga пишет:
стандарт все-таки оперирует своими понятиями, одно из ключевых - это риск

 А зачем к нему привязываться, к этому стандарту? Он что, панацея? И почему все так с риском носятся? В безопасности эта маркетинг и не более, который к реальной жизни мало применим. Вот например, читаю статью вчера про управление рисками. Там написано системы управления рисками очень важны, т.к. собирают статистику от разных средств защиты и на основе этого можно сделать вывод, какие ресурсы надо защищать в первую очередь, а какие - во вторую. А после этого уже можно экономить на безопасности. Класс!!! Только вот чтобы начать экономить, надо закупить кучу систем защиты, с которых собрать статистику.
 Или другая рекомендация. Соберитесь с руководителями бизнес-единиц и оцените риски и стоимость потенциального ущерба. На словах легко, а на деле кто-то это делал? А руководитель бизнес-единицы может оценить потенциальный ущерб? А почему вообще кто-то считает, что потенциальный ущерб может перейти в реальный? А может не перейдет? А зачем тогда тратить деньги?

Цитата
chinga пишет:
безусловно, хорошо, но малоформализуемо и вряд ли может считаться сколь-нибудь серьезным аргументом для аудитора

 А зачем это формализовать? Основная задача - доказать руководству важность процесса управления безопасностью (рисками) и заставить его задуматься насчет инвестиций в него. Все! Для этого все честные средства хороши.
Luka
Защита от своих
 
Цитата
avramov пишет:
ну вот в качестве примера подскажите мне как можно подсчитать ТСО для кондиционера

Господа, вы ничего не путаете? Подсчитать ТСО можно даже для моих ботинков. В эту стоимость входит:
 - лицензионная цена ботинков
 - стоимость поездки из магазина до дома (и поездка от дома до магазина)
 - стоимость обувного крема на протяжении жизненного цикла ботинков
 - стоимость шнурков
 - стоимость "ложки" для обуви
 - стоимость времени, котороя я трачу на чистку и т.д.

Задача, в которой встречается ТСО - это ее снижение. В случае с ботинками я могу ее снизить за счет:
 - получения скидки на ботинки или участия в акции
 - заказа ботинков через Интернет с доставкой
 - использования тросиков вместо шнурков
 - использование специальных чистящих обувь машин, установленных в отелях и бизнес-центрах (бесплатно)
 - передача чистки на аутсорсинг и т.д.

Все просто. И для кондиционера тоже можно посчитать ТСО. Основная суть этой методики - показать снижение OpEx и CapEx. ВСЕ!!! Не надо навешивать на нее того, для чего она не предназначена. И в отличие от всяких ROI, ROSI и т.д. TCO как раз понятна и применима в реальной жизни.
Luka
Защита от своих
 
Цитата
chinga пишет:
"метрики" эффективности, т.е. сотношение снижения риска в стоимостном выражении к затратам

Ну вообще-то метрика эффективности - это не только снижение риска...  Если, например, после внедрения системы управления паролями и токенами число звонков в Help Desk сократилось с 100 до 20 в день, то вот тебе прямой эффект. Метрика тут - число звонков в HelpDesk. Ни к каким рискам отношения не имеет.

Не надо воспринимать 27001, как истину в последней инстанции. У него своя область применения, которая очень ограничена. И уж тем более ни один из этих стандартов не описывает метрики оценки эффективности (пока не описывает).
Luka
Защита от своих
 
В качестве полемического задам вопрос, который сам автор задал в начале статьи. А как посчитать эффективность описанных мер защиты от инсайдеров?
Luka
Почему в России нет настоящих CISO?
 
Цитата
~S/E/r/G~ пишет:
книги аффтора гавно, одна филофия

Судя по словарному запасу, у меня возникло подозрение, что вам там не все слова оказались знакомы. Поэтому такая и реакция. Увы. Учебник русского языка к книге я приложить забыл. В следующий раз учту.
Luka
Почему в России нет настоящих CISO?
 
Цитата
Ригель пишет:
Я его уже спрашивал - он не допускает

Я не был так категоричен ;-)  Коль скоро у нас есть модель зрелости, то вполне разумно предположить, что разные "бизнесы" находятся на разных уровнях. Где-то он дорос, где-то нет. Ну так надо его учить ;-) Постепенно, но учить.
Luka
Почему в России нет настоящих CISO?
 
Цитата
Гость пишет:
На ваш предыдущем памфлете по поводу ВУЗов поступил прекрасный комментарий, который мне хотелось бы процитировать

 Спасибо. Я примерно так и представлял реакцию на статью. Виноваты все и никто не виноват.
Luka
Почему в России нет настоящих CISO?
 
Цитата
ilya пишет:
курсы - не самый лучший способ получить знания (это я как бывший инструктор говорю =)) все надо получать с опытом, а потом уже под это дело сертоифицироваться

С опытом получается опыт, а на курсах даются первичные знания, которые потом углубляются с опытом. Курсы - это трамплин. А вот что касается "сертифицироваться", то зачем? Тем более, что бизнес-ориентированной безопасности нигде не учат. И уж сертификатов по этой теме нигде на дадут.


Цитата
ilya пишет:
понравилось - "если меня никто не понимает и не приходит на курсы - значит просто не доросли"

Не совсем. Я еще допускаю, что отсутствие рекламы данных курсов сыграло свою роль ;-)
Luka
Почему в России нет настоящих CISO?
 
Цитата
kutkh пишет:
Чтобы прийти к первому нужно пройти через второе

Не всегда ;-) Я как-то второе вообще пропустил. Лженаука-с ;-) А может было лень изучать риски и я сразу к бизнесу перешел. А может место работы повлияло - скачок-то был качественный... даже более чем.
Luka
Почему в России нет настоящих CISO?
 
Цитата
EvK пишет:
Тогда тут не клуб CISO нужен, а мощное лобби в правительстве:)

Вот этого не надо. Если хочешь, чтобы задача была провалена - глобализируй ее.
Luka
Почему в России нет настоящих CISO?
 
Цитата
sadglass@ngs.ru пишет:
приобретает понимание низкооплачиваемости работы в области ИБ

Все зависит от места работы ;-)


Цитата
sadglass@ngs.ru пишет:
финансируется по "остаточному от остаточного принципу"

В ряже компаний это все равно миллионы ;-)
Luka
Почему в России нет настоящих CISO?
 
Цитата
kutkh пишет:
Подсаживать бесполезно, до этого необходимо самому бизнесу до этого дойти.

А что такое бизнес? Это конкретные люди, которые могут "доходить" до этого сами в течение десятилетий, а могут быть подтолкнуты и "дойти" до этого за несколько месяцев. Задача CISO именно подтолкнуть и объяснить.

Цитата
Гость пишет:
далеко не всякому бизнесу это нужно в виде отдельного департамента. очень далеко не всякому

Я писал не о департаменте, а о CISO - лидере и драйвере направления. Он может возглавлять департамент, отдел, группу и даже быть одиночкой. Лишь бы дело делал.


Цитата
Ригель пишет:
в России низок уровень CISO, потому что крайне низка ступень развития у самих CEO - дикие они

Не совсем так. У CEO есть свои приоритеты - слияния и поглощения, compliance, снижение издержек, рост доходов, customer care и т.д. И безопасность может быть увязана с ними. В этом и состоит задача CISO. Донести до CEO проблему безопасности в терминах и описаниях, понятных CEO.

Цитата
Ригель пишет:
период "чисто рубим бабло по-легкому" заканчивается

Так закончился уже ;-)
Luka
Почему в России нет настоящих CISO?
 
Цитата
Вадим пишет:
Совершенно не нужны никакие курсы для обучения выбиванию бюджета. Тут уж или есть способности или их нет.

Опять обратимся к аналогии. Чтобы ездить на машине мне нужны были курсы. А способности помогают развивать полученные на курсах знания. Вот и все ;-) К тому же курсы дают концентрированное знание, которое можно же найти в статьях, книгах, Интернете и т.д. Но долго ;-(
Luka
Почему в России нет настоящих CISO?
 
Цитата
Гость пишет:
Только и он, уповая на технические меры, забывает о "черной дыре" в защите - Инсайдера.

Я вообще-то про технические меры вообще ничего не говорил ;-) Как собственно и про модель нарушителя.
Luka
Страницы: Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 14 След.