Цитата |
---|
Гость пишет: ХАКЕР != ВОР СПАМ == ВЕТЧИНА для начала прекратите мусор в мейле называть спамом, а потом возникайте на ассоциацию хакер == вор |
Вот радио есть, а счастья нет. (с) Ильф
10.11.2006 09:21:59
Перевожу на общеупотребительный язык.
--Новость:-- В такой-то стране повязали четырех домушников, входящих в бригаду преступников, взломавшую более 8 тысяч квартир и офисов. --Хор:-- Домушники не преступники, а юные интеллектуалы, прекрасно разбирающиеся в механике, физике, материаловедении - цвет современной технической науки. Пострадавшие вовсю заслужили взлом и изгаживание своих квартир, раз не используют самые новейшие запорные устройства. К тому же, преступники - это те, которые из квартиры имущество выносят и в свою корысть используют, а если домушник проник в жилище и там погром устроил, но ничего не взял, то он совсем не преступник. И вообще любое имущество должно быть доступно, даже если оно чужое. Вот, например, проникновение в автомобиль, оборудованный не самыми лучшими противоугонками - разве это криминал? Фигушки, братцы. Это его вором некорректно называть, раз хищения не было (если его действительно не было), но преступником абсолютно правильно. На нары.
Вот радио есть, а счастья нет. (с) Ильф
|
|
|
24.10.2006 08:47:07
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
23.10.2006 17:55:55
Вот радио есть, а счастья нет. (с) Ильф
|
|||||||
|
23.10.2006 14:55:15
И присоседиться к нему - это те еще грабли, ибо очень редкое нарушение ИБ можно притянуть к трудовым обязанностям (часть 2 статьи 21 Трудового Кодекса), а только за их неисполнение или ненадлежащее исполнение можно законно наказывать. К тому же я ничего не услышал про главное - сам порядок служебного расследования, ведь это же уголовное преследование в миниатюре (кстати, с ним тоже нельзя совпадать по терминологии). Там очень много вещей, которые должны быть определенным образом оформлены, т.к. это потенциальный предмет для судебной тяжбы. Ты точно уверен, что готов продавать корпоративный аналог уголовно-процессуального кодекса?
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
22.10.2006 23:03:19
Скажем, прежде этот процесс аутсорсился, но потом возбух профсоюз. Т.к. свои этим раньше не занимались и абсолютно ни в зуб ногой, мануал нужен подробный. (Кстати, в РФ нельзя говорить "дисциплинарный", поскольку это означает схему "нарушение правил трудового распорядка --> замечание/выговор/увольнение", ибо так трактует дисцплинарные проступки законодательство и влево-вправо уже ни-ни. Не знал?) Может ли консультант, если он сам ни разу не сталкивался с наездами Госинспекции по труду из-за жалобы неграмотно репрессированного работника, продать профессиональную помощь? Только, извините, лоху. Но со временем их будет все меньше. Зы: Ситуация отнюдь не фантастическая - этот контрол applicable в любой конторе и при любом анализе рисков.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
20.10.2006 18:18:18
В рунете сейчас даже нормального комьюнити нет (по управлению деятельностью, а не техническими средствами), откуда ж взяться адекватной клиентуре. Но рано или поздно клиентам станут нужны не общие сведения о стандартах (и тем более не их тексты), а постановка конкретных процессов. Скажем, хочу хороший мануал по служебному расследованию и последующему наказанию (8.2.3), чтобы по нему исполнители сразу смогли работать без додумывания и лишних вопросов, и ни один суд потом не подкопался. Заграница не поможет - много процессуальных тонкостей. Покажи-ка, какой российский консультант по ИБ это продает, а я время сэкономлю. Есть такой?
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
20.10.2006 17:12:36
Раз стало можно нанять строительную фирму или отдать машину в сервис и не вытрясать из них душу, чтобы они делали все по-человечески, то почему бы консалтингу по ИБ до этого не дорасти? Дорастет. Когда а) руку набьет, б) клиенты станут разборчивее. Зы: Если Вам кажется, что дизайнить иб-шные бизнес-процессыэто быть инженером, а не менеджером - без проблем. Хоть горшком, как говорится.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
20.10.2006 16:40:24
- качество российских услуг пока не удовлетворяет; - иностранцы не понимают российской культуры (в т.ч. документационной, управленческой и пр.).
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
20.10.2006 16:35:20
2. Можно внедрить без покупки дополнительного ПО. И вообще не надо путать теплое с мягким - СУИБ может внедряться даже на аналоговой АТС или в полностью бумажной конторе без лепестричества. 3. Внедрение системы менеджмента или какого-то технического средства? 4. Я не хочу консалтинга и не Владимир.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
20.10.2006 16:04:58
На текущий момент та фирма, которая пожелает прибегнуть к консалтингу по 17799, будет примерно вторым или третьим кроликом в биографии этого хирурга. Не завидую.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
20.10.2006 14:53:21
Вот радио есть, а счастья нет. (с) Ильф
|
|||||||||||||
|
20.10.2006 12:19:15
Во-вторых, давайте различать внутренние резервы и прямые затраты. Человек, которому можно временно упилить некие другие обязанности, чтобы он описал свою процедуру, все равно сидит на зарплате. Можно найти внутренние резервы и для того, чтобы не набирать дополнительный персонал во внутренний аудит. Вдобавок, на это замахиваются наиболее развитые компании, внутреннее управление в которых достаточно зрело, чтобы мочь гибко перестраиваться. В-третьих, наведение порядка в процессах повышает эффективность работы, а не понижает. Создание внятной процедуры убыстряет выполнение соответствующего процесса за счет выпрямления этого самого процесса. При правильном подходе итоговые трудозатраты персонала должны вырасти незначительно, а то и вообще немножко упасть. В-четвертых, если Вы не обманывали свое руководство долгие годы, а действительно занимались ИБ, то несовпадений со стандартом у Вас будет не так уж много. И в-пятых, у нас с Вами несколько разный практический опыт во внедрении 7799, но в форуме я это обсуждать не буду. ПО? Какое ПО Вы имеете в виду? Зы: я не знаю, насколько у Вас (или автора темы) все запущено и исхожу из предположения, что ИБ Вы занимались.
Вот радио есть, а счастья нет. (с) Ильф
|
|||||
|
20.10.2006 09:33:15
Во-первых, это стандарт на систему МЕНЕДЖМЕНТА информационной безопасности. Никогда не замечали этого слова? Он об управленческой деятельности (или "организационных мерах", по старому говоря), наведении порядка в Ваших процессах по управлению ИБ. Во-вторых, деньги просто некуда потратить. О том, что закупка тех или иных технических средств из стандарта не следует, даже распространяться не буду (см. предыдущий абзац), а консалтинг физически негде купить. Те, кто продает в РФ услуги по подготовке к сертификации, Вам практически ничем не помогут, а те, кто мог бы помочь, не торгуют консалтингом. Это сродни тому, как брать уроки живописи (плавания, фигурного катания, китайского языка и т.п.) у того, кто сам кистью не владеет, а "имеет представление, как наверно это должно делаться". Спросите у любой фирмы, которая пообещает его Вам внедрить, сертифицирована ли она сама по 27001 и 9001 (это очень важно, т.к. 27001 плохо понятен без своего идеологического родителя) и опционально по 14001 или 18001 (чтобы уж до конца удостовериться, что это корпоративная религия, которая их самих пронизывает до мозга костей) - уверяю, что Ваши время и деньги останутся целыми. В-третьих, внедряются те меры, которые получатся из анализа рисков именно Вашей организации и учитывают Вашу ситуацию, а не все написанное в стандарте (по крайней мере, в первой его части, т.е. 17799). Короче говоря: если есть своя голова на плечах, то внедрение своими силами будет стоить 0 денег (при административной поддержке со стороны руководства, разумеется), а если расчитываете на чужую, то внедрение не наступит вообще. В Англии и Японии иначе, а для России это так.
Вот радио есть, а счастья нет. (с) Ильф
|
|||||||
|
02.10.2006 20:22:38
Остальным и на остальное постараюсь завтра ответить.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
28.09.2006 21:03:43
Здесь существует 2 уровня проблем или 2 уровня зрелости ИБ - называйте, как хотите. Но давайте их четко разделим, раз это оказалось неочевидным. 1. Это все то, о чем Вы говорили. Доступ (физический, логический - не суть) должен санкционироваться, контролироваться, предоставляться только тем, чье участие необходимо, протоколироваться, регулярно пересматриваться, разделение полномочий, минимизация привилегий, устранение бардака, упорядочение процессов, допущение нужных, недопущение лишних и бла-бла-бла. Не подумайте плохого: это не просто полезная, но и абсолютно необходимая вещь. Даже основополагающая. И чем лучше Вы сможете это реализовать - тем лучше. Только не приплетайте сюда инсайдеров, т.к. Вы решаете проблему управления доступом в самом ее классическом виде. 2. Но после того, как навели порядок с доступом, вырисовывается проблема с выжившими, т.е. легальными участниками своих процессов. Необязательно, что эти стадии наступают одна за другой: кто-то вообще так и не обнаруживает проблем второго уровня, а кто-то догадывается об их существовании еще на первом этапе или даже до его начала. Так или иначе, но есть второй слой проблем - ненадежность персонала участвующего в бизнес-процессе, причастного к нему на полных основаниях. Это инсайдеры. С ними действительно очень сложно, т.к. дальше надо управлять не мышкой, а людьми, их поведением, мотивами, взаимоотношениями... чуть ли не восприятием. Чтобы Вы не думали, что Вам до этого еще далеко, представьте любой процесс, где этой "мышечной" стадии не было и не будет. Кладовщик, который всегда знает, что в этом месяце организация получала на склад. Секретарь, которая знает, с кем встречался начальник и куда какие факсы поручал отослать. Водитель, который знает, куда шефа возил. Юрист, который все заключаемые договора вычитывал. Кассир, которая знает, кому и сколько выдавала. И т.д. И полный список приближается в к полному колическтву работников Вашей организации, т.к. каждый из них в каких-либо процессах участвует, иначе бы не работал. Говорю "приближается", потому что теоретически могут быть люди, которые ничего такого, что при определенных обстоятельствах могло бы повредить, по роду своей службы не видят и не слышат. Вашу организацию я не знаю и голословно утверждать не буду. Все они совершенно легально обладают ценной информацией, они неизбежные участники своей цепочки. Именно этих неустранимых участников и повелось называть инсайдерами. Для более зрелых "безопасностей" - проблема №1, для менее - нет.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|
28.09.2006 09:47:08
Защита компьютера директора от уборщицы? Вы будете удивлены, но это он инсайдер, а не она. Посмотрите еще раз терминологию, а то мы на разных языках говорим.
Вот радио есть, а счастья нет. (с) Ильф
|
|||
|