Очень жаль, что из сказанного Вы осилили только слово "вор" (потому что короткое?), да еще и не с тем соотнесли, но разъяснять смысл написанного не буду. Что хотел сказать, то уже сказал. Кто хочет/может - прочтет. Увидимся в следующей теме.

Была тут недавно именно такая тема А.Лукацкого.

Перевожу на общеупотребительный язык.

--Новость:--
В такой-то стране повязали четырех домушников, входящих в бригаду преступников, взломавшую более 8 тысяч квартир и офисов.

--Хор:--
Домушники не преступники, а юные интеллектуалы, прекрасно разбирающиеся в механике, физике, материаловедении - цвет современной технической науки. Пострадавшие вовсю заслужили взлом и изгаживание своих квартир, раз не используют самые новейшие запорные устройства. К тому же, преступники - это те, которые из квартиры имущество выносят и в свою корысть используют, а если домушник проник в жилище и там погром устроил, но ничего не взял, то он совсем не преступник. И вообще любое имущество должно быть доступно, даже если оно чужое. Вот, например, проникновение в автомобиль, оборудованный не самыми лучшими противоугонками - разве это криминал?

Фигушки, братцы. Это его вором некорректно называть, раз хищения не было (если его действительно не было), но преступником абсолютно правильно. На нары.

Неужели так трудно прочитать собственно Закон (он ведь уже 3 месяца как опубликован), а не комментарий InfoWatch'a?

Ну что ж, повторю и это тоже: 8.2.3 взят от балды.

Давайте: только 192 это дисциплинарка, а все остальное - не она. И их не надо путать. И поэтому как только ты произносишь "дисциплинарный процесс", то попадаешь в рамки нарушение трудовой дисциплины --> замечание/выговор/увольнение.А Волга впадает в Каспийское море. Но речь о подобии.
Наконец-то мы вернулись к инструкции. Разумеется, им нужна инструкция. Предполагается, что люди настолько безграмотны, что не отличают даже неосторожную вину от невиновного причинения вреда - иначе они бы не искали консалтинга. А описание контроля из стандарта у них и у самих есть.

В условиях РФ слово "дисциплинарный" занято, поэтому его нельзя переводить в лоб.
И присоседиться к нему - это те еще грабли, ибо очень редкое нарушение ИБ можно притянуть к трудовым обязанностям (часть 2 статьи 21 Трудового Кодекса), а только за их неисполнение или ненадлежащее исполнение можно законно наказывать.

К тому же я ничего не услышал про главное - сам порядок служебного расследования, ведь это же уголовное преследование в миниатюре (кстати, с ним тоже нельзя совпадать по терминологии). Там очень много вещей, которые должны быть определенным образом оформлены, т.к. это потенциальный предмет для судебной тяжбы. Ты точно уверен, что готов продавать корпоративный аналог уголовно-процессуального кодекса?

Поскольку пример был взят абстрактный (первый пришедший в голову контрол), то ответить  на этот вопрос проблематично.

Скажем, прежде этот процесс аутсорсился, но потом возбух профсоюз. Т.к. свои этим раньше не занимались и абсолютно ни в зуб ногой, мануал нужен подробный. (Кстати, в РФ нельзя говорить "дисциплинарный", поскольку это означает схему "нарушение правил трудового распорядка --> замечание/выговор/увольнение", ибо так трактует дисцплинарные проступки законодательство и влево-вправо уже ни-ни. Не знал?)

Может ли консультант, если он сам ни разу не сталкивался с наездами Госинспекции по труду из-за жалобы неграмотно репрессированного работника, продать профессиональную помощь? Только, извините, лоху. Но со временем их будет все меньше.

Зы: Ситуация отнюдь не фантастическая - этот контрол applicable в любой конторе и при любом анализе рисков.

Ну тут уж пардоньте - цена договорная, определяет рынок.
В рунете сейчас даже нормального комьюнити нет (по управлению деятельностью, а не техническими средствами), откуда ж взяться адекватной клиентуре.

Но рано или поздно клиентам станут нужны не общие сведения о стандартах (и тем более не их тексты), а постановка конкретных процессов. Скажем, хочу хороший мануал по служебному расследованию и последующему наказанию (8.2.3), чтобы по нему исполнители сразу смогли работать без додумывания и лишних вопросов, и ни один суд потом не подкопался. Заграница не поможет - много процессуальных тонкостей. Покажи-ка, какой российский консультант по ИБ это продает, а я время сэкономлю. Есть такой?

Да нет, "срубить по-легкому" это нормальная картина. Для этапа становления рынка.

Раз стало можно нанять строительную фирму или отдать машину в сервис и не вытрясать из них душу, чтобы они делали все по-человечески, то почему бы консалтингу по ИБ до этого не дорасти? Дорастет. Когда а) руку набьет, б) клиенты станут разборчивее.

Зы: Если Вам кажется, что дизайнить иб-шные бизнес-процессыэто быть инженером, а не менеджером - без проблем. Хоть горшком, как говорится.

Из Англии я и сам могу, но в том-то и загвоздка:
- качество российских услуг пока не удовлетворяет;
- иностранцы не понимают российской культуры (в т.ч. документационной, управленческой и пр.).

1. Их сложно сравнивать. В какой валюте расчитывается то, что Вы сами себе туфли чистите, а не у башмачника?

2. Можно внедрить без покупки дополнительного ПО. И вообще не надо путать теплое с мягким - СУИБ может внедряться даже на аналоговой АТС или в полностью бумажной конторе без лепестричества.

3. Внедрение системы менеджмента или какого-то технического средства?

4. Я не хочу консалтинга и не Владимир.

Принципиальная поблема в том, что консультант не пользуется тем, что создается в результате его консалтинга, поэтому ему так редко удается сделать что-то жизнеспособное.

На текущий момент та фирма, которая пожелает прибегнуть к консалтингу по 17799, будет примерно вторым или третьим кроликом в биографии этого хирурга. Не завидую.

Будем друг-другу стандарт рассказывать? Владелец бизнеса может принять риск, если не может себе позволить закрыться. Более того: именно так он и поступает на самом деле.
Всегда есть, кому заплатить. Но они принесут шаблон, который на организацию нормально не ляжет.+1
Напоминаю, что в рассматриваемой ситуации у безопасников нет денег. Но если есть люди, то СУИБ возможна.
Опыт внедрения есть у тех, кто делал это на себе. А может получиться: "А Вы сами-то плавать умеете?" - "Нет, но Вы не первый, кто платит за мои курсы".
Если менеджер умеет работать только когда ресурсов с избытком - гнать его надо.

Во-вторых, давайте различать внутренние резервы и прямые затраты. Человек, которому можно временно упилить некие другие обязанности, чтобы он описал свою процедуру, все равно сидит на зарплате. Можно найти внутренние резервы и для того, чтобы не набирать дополнительный персонал во внутренний аудит. Вдобавок, на это замахиваются наиболее развитые компании, внутреннее управление в которых достаточно зрело, чтобы мочь гибко перестраиваться.  

В-третьих, наведение порядка в процессах повышает эффективность работы, а не понижает. Создание внятной процедуры убыстряет выполнение соответствующего процесса за счет выпрямления этого самого процесса. При правильном подходе итоговые трудозатраты персонала должны вырасти незначительно, а то и вообще немножко упасть.

В-четвертых, если Вы не обманывали свое руководство долгие годы, а действительно занимались ИБ, то несовпадений со стандартом у Вас будет не так уж много.

И в-пятых, у нас с Вами несколько разный практический опыт во внедрении 7799, но в форуме я это обсуждать не буду.

ПО? Какое ПО Вы имеете в виду?


Зы: я не знаю, насколько у Вас (или автора темы) все запущено и исхожу из предположения, что ИБ Вы занимались.  

Саш, я имел в виду: на халяву не валяются.

Понятно: на секлабе опять почта не ходит.
Это было для всех, а то, что предназначалось лично Вам, было написано лично Вам.
Ждите - когда нибудь придет.

Самая классическая ошибка!
Во-первых, это стандарт на систему МЕНЕДЖМЕНТА информационной безопасности. Никогда не замечали этого слова? Он об управленческой деятельности (или "организационных мерах", по старому говоря), наведении порядка в Ваших процессах по управлению ИБ.
Во-вторых, деньги просто некуда потратить. О том, что закупка тех или иных технических средств из стандарта не следует, даже распространяться не буду (см. предыдущий абзац), а консалтинг физически негде купить. Те, кто продает в РФ услуги по подготовке к сертификации, Вам практически ничем не помогут, а те, кто мог бы помочь, не торгуют консалтингом. Это сродни тому, как брать уроки живописи (плавания, фигурного катания, китайского языка и т.п.) у того, кто сам кистью не владеет, а "имеет представление, как наверно это должно делаться". Спросите у любой фирмы, которая пообещает его Вам внедрить, сертифицирована ли она сама по 27001 и 9001 (это очень важно, т.к. 27001 плохо понятен без своего идеологического родителя) и опционально по 14001 или 18001 (чтобы уж до конца удостовериться, что это корпоративная религия, которая их самих пронизывает до мозга костей) - уверяю, что Ваши время и деньги останутся целыми.
В-третьих, внедряются те меры, которые получатся из анализа рисков именно Вашей организации и учитывают Вашу ситуацию, а не все написанное в стандарте (по крайней мере, в первой его части, т.е. 17799).
Короче говоря: если есть своя голова на плечах, то внедрение своими силами будет стоить 0 денег (при административной поддержке со стороны руководства, разумеется), а если расчитываете на чужую, то внедрение не наступит вообще. В Англии и Японии иначе, а для России это так.
Полагаете его интересует устаревшая редакция 2000 года?
Это не страшно: он отвратителен. Переводили люди, которые сами не очень понимают, о чем говорят (см. мое "во-вторых").

Если заглянете в первоисточник (в pdf), то он оперирует термином "staff misuse" и говорит о вреде со стороны персонала в широком смысле. Тараканы переводчика - это тараканы переводчика.

Остальным и на остальное постараюсь завтра ответить.

Понятно. Сейчас объясню по-другому.

Здесь существует 2 уровня проблем или 2 уровня зрелости ИБ - называйте, как хотите. Но давайте их четко разделим, раз это оказалось неочевидным.

1. Это все то, о чем Вы говорили. Доступ (физический, логический - не суть) должен санкционироваться, контролироваться, предоставляться только тем, чье участие необходимо, протоколироваться, регулярно пересматриваться, разделение полномочий, минимизация привилегий, устранение бардака, упорядочение процессов, допущение нужных, недопущение лишних и бла-бла-бла. Не подумайте плохого: это не просто полезная, но и абсолютно необходимая вещь. Даже основополагающая. И чем лучше Вы сможете это реализовать - тем лучше. Только не приплетайте сюда инсайдеров, т.к. Вы решаете проблему управления доступом в самом ее классическом виде.

2. Но после того, как навели порядок с доступом, вырисовывается проблема с выжившими, т.е. легальными участниками своих процессов. Необязательно, что эти стадии наступают одна за другой: кто-то вообще так и не обнаруживает проблем второго уровня, а кто-то догадывается об их существовании еще на первом этапе или даже до его начала. Так или иначе, но есть второй слой проблем - ненадежность персонала участвующего в бизнес-процессе, причастного к нему на полных основаниях. Это инсайдеры. С ними действительно очень сложно, т.к. дальше надо управлять не мышкой, а людьми, их поведением, мотивами, взаимоотношениями... чуть ли не восприятием.

Чтобы Вы не думали, что Вам до этого еще далеко, представьте любой процесс, где этой "мышечной" стадии не было и не будет.
Кладовщик, который всегда знает, что в этом месяце организация получала на склад.
Секретарь, которая знает, с кем встречался начальник и куда какие факсы поручал отослать.
Водитель, который знает, куда шефа возил.
Юрист, который все заключаемые договора вычитывал.
Кассир, которая знает, кому и сколько выдавала.
И т.д.

И полный список приближается в к полному колическтву работников Вашей организации, т.к. каждый из них в каких-либо процессах участвует, иначе бы не работал. Говорю "приближается", потому что теоретически могут быть люди, которые ничего такого, что при определенных обстоятельствах могло бы повредить, по роду своей службы не видят и не слышат. Вашу организацию я не знаю и голословно утверждать не буду.

Все они совершенно легально обладают ценной информацией, они неизбежные участники своей цепочки. Именно этих неустранимых участников и повелось называть инсайдерами.  Для более зрелых "безопасностей" - проблема №1, для менее - нет.

Если бы Вы сообщили, что имеете в виду под таковыми технологиями, диалог был бы продуктивнее.
Защита компьютера директора от уборщицы? Вы будете удивлены, но это он инсайдер, а не она. Посмотрите еще раз терминологию, а то мы на разных языках говорим.