Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Внедрение СУИБ с чего начать?
Protectiva Compliance Manager

с чего начать?

Операции с документом
Вверх к Внедрение СУИБ

с чего начать?

Послано Струнин Иван в 27.Февраль.2010 03:15
Коллеги, доброго времени суток)... подскажите, плиз., с чего начать фирме, в которой еще нет никакой системы ИБ, но хочется быть на уровне и соответствовать "мировым стандартам"?... нет, ну не совсем ничего, конечно) - есть куча ПО по теме, железо разное, даже попытки были закрепить на бумаге политику доступа сотрудников к информации)))... и вот директор озадачился!!! и надо теперь срочно представить ему полную инфу по теме...

с чего начать?

Послано PoStas в 27.Февраль.2010 07:00
Разработайте установочный приказ по конторе о защите конифиденциальной (коммерческой, служебной) информации. Затем, в соответствии с одним из пунктов приказа, возьмите подписку от каждого сотрудника о неразглашении. Форму найдете в инете. Приказом же введите запрет на использование flash - накопителей. Проведите паспортизацию (стандартизацию) АРМ, (в Приказе укажите - какое ПО может быть использовано, а какое - нет) введите приказом запрет на инет-пейджеры. Словом, могу написать на эту тему "песню" или "балладу". Ограничьте интет-трафик для пользователей, обычно 50-100 метров за глаза смертному на месяц хватит. Приказ дайте на подпись директору. Доведите до всех под роспись. Введите карточки регистрации пользователей. Это - для начала. Потом - само пойдет-поедет, когда войдете во вкус, что называется... Не зная всей Вашей специфики, ничего более не могу добавить... Если есть ещё вопросы - обращайтесь в личку...

[signature]

[/signature]

с чего начать?

Послано Valentin в 27.Февраль.2010 10:01
From PoStas:
Приказом же введите запрет на использование flash - накопителей.


еще интернет запретить посоветуйте :rolleyes:

с чего начать?

Послано Александр Астахов в 27.Февраль.2010 10:01
Прозвучит банально для специалистов, но начинать установочные мероприятия по ИБ надо с проведения аудита и оценки рисков (предполагается что ответственный за ИБ уже назначен и обучен). Без этого я бы не рекомендовал вам даже никакой высокоуровневой политики безопасности писать.

Это, конечно, не отменяет оперативной работы по латанию дыр в защите корпоративной сети, которые с очевидностью приводят к утечке конфиденциальной информации или другим негативным последствиям для организации. Если обнаруживается серьезная уязвимость, ее немедленно надо устранить и сделать из этого историю вашего успеха (Success Story).

Если именно вас назначили ответственным за ИБ, то рекомендую вам сначала почитать Боб Мур знает как не быть уволенным, а так же как минимум изучить ISO 27002, прежде чем предпринимать какие-либо решительные действия, влияющие на работу организации и затрагивающие интересы ее сотрудников.

с чего начать?

Послано PoStas в 27.Февраль.2010 10:47
From val:
еще интернет запретить посоветуйте :rolleyes:

А это - смотря, какая организация. В большинстве госконтор (Пенфонд, СоцСтрах) - так оно и есть, в остальных - ограничение и контроль трафика. В одном из филиалов Ростелекома, например, для Инета есть только один выделенный комп для простых смертных, стоит в отдельной комнате. На проведение аудита, как советует astahov (нижайший поклон, уважаемый!) нужны, прежде всего деньги. Думаю, что struna уже хорошо знаком с основными РД по ИБ. И вообще, таварисч-то молчит, а мы тут копья ломаем зазря...

с чего начать?

Послано Александр Астахов в 27.Февраль.2010 11:09
From PoStas:
На проведение аудита, как советует astahov ... нужны, прежде всего деньги...


Если ставится вопрос о том, как обеспечить информационную безопасность без денег, тогда я бы посоветовал переквалифицироваться в управдомы. Единственный способ совсем не тратить денег на информационную безопасность - избрать вид деятельности не связанный с информационными рисками, не только Интернет вырубив, но и полностью отказавшись от использования информационных систем. Это называется избеганием рисков.

Существует множество достойнейших профессий, не требующих затрат на ИБ, например, можно пиццу развозить или квартиры ремонтировать, также можно найти себя в сельском хозяйстве и т.д.

с чего начать?

Послано PoStas в 27.Февраль.2010 11:44
From astahov:
Если ставится вопрос о том, как обеспечить информационную безопасность без денег, тогда я бы посоветовал переквалифицироваться в управдомы.

Советовать своей жене будешь, уважаемый... Сам-то не в МУП ЖКХ трудишься? Смотрю, тема для тебя близкая:laugh: И ваще - харэ кипишиться. "струна" вон ваще помалкивает. Спроси у него - сколько ему на безпеку шеф денег закинул в бюджет на 2010 год?

с чего начать?

Послано Александр Астахов в 27.Февраль.2010 12:00
From PoStas:
Сам-то не в МУП ЖКХ трудишься? Смотрю, тема для тебя близкая:laugh: И ваще - харэ кипишиться. "струна" вон ваще помалкивает. Спроси у него - сколько ему на безпеку шеф денег закинул в бюджет на 2010 год?


Тема ЖКХ близка каждому, там основные проблемы отнюдь не в информационной безопасности. Сочувствую вам, но деньгами вашей организации помочь не смогу :Pmiley:

с чего начать?

Послано Valentin в 27.Февраль.2010 15:40

[blockquote]From astahov:
Прозвучит банально для специалистов, но начинать установочные мероприятия по ИБ надо с проведения аудита и оценки рисков
[blockquote]

очень спорная мысль - почитайте iso 13335, там рекомендуется в первую очередь для таких компаний т.н. "базовый набор".

с чего начать?

Послано Александр Астахов в 27.Февраль.2010 15:50
From val:
очень спорная мысль - почитайте iso 13335, там рекомендуется в первую очередь для таких компаний т.н. "базовый набор".


Какую часть 13335 вы мне рекомендуете почитать? Части 2-4 уже официально отменены, т.е. действующими стандартами ISO не являются. Вместо них читайте стандарты серии ISO 2700х. О каком-то "базовом наборе" можно было говорить лет 15 назад, когда разрабатывался указанный вами стандарт.

с чего начать?

Послано Valentin в 27.Февраль.2010 17:01
где и кем они отменены?

дополнительно посмотрите OCTAVE - там говориться про тоже самое.

с чего начать?

Послано Александр Астахов в 27.Февраль.2010 17:13
From val:
где и кем они отменены?

дополнительно посмотрите OCTAVE - там говориться про тоже самое.


Отменены техническим комитетом ISO/IEC JTC 1. Части 3 и 4 были заменены стандартом ISO 27005. Информацию о статусе любого международного стандарта можно уточнить на официальном сайте iso.org.

Что говориться в OCTAVE? Эта методология оценки рисков уж точно не предлагает никаких "базовых наборов" контрмер. Она определяет как правильно выбирать контрмеры, опираясь на оценку рисков.

с чего начать?

Послано Valentin в 1.Март.2010 18:25

1) ГОСТ Р ИСО/МЭК ТО 13335 3 и 4 часть еще действует

2) ISO/IEC 13335-1:2004 и ISO/IEC 13335-2 (Revised - currently 2nd WD) также дейюствуют, 2-я часть в процессе драфта

3)Цитирую ISO/IEC 27005:
E.4 Baseline approach to risk treatment
Using baseline protection makes it possible to apply organization-wide controls as a start, and then to use an in-depth risk assessment to determine the most suitable controls for systems at high risk or systems critical to the business. The baseline approach can be used as well to treat common risks.

4) в OCTAVE также предлагается как и в п.3



с чего начать?

Послано Александр Астахов в 1.Март.2010 19:12
From val:
1) ГОСТ Р ИСО/МЭК ТО 13335 3 и 4 часть еще действует


Я говорил не про ГОСТы. Они принимаются много лет спустя выхода международных стандартов. Давайте еще вспомним старые ГОСТы по защите информации серий Р 50ххх-51ххх 90-х годов. Там тоже много интересного можно почерпнуть.

From val:
2) ISO/IEC 13335-1:2004 и ISO/IEC 13335-2 (Revised - currently 2nd WD) также дейюствуют, 2-я часть в процессе драфта


Я в курсе. Вот официальная информация с сайта iso.org:

ISO/IEC TR 13335-2:1997

Information technology -- Guidelines for the management of IT Security -- Part 2: Managing and planning IT Security
Edition: 1 | Stage: 95.99 | JTC 1/SC 27
ICS: 35.040
Date of withdrawal: 2004-11-19

From val:
3)Цитирую ISO/IEC 27005:
E.4 Baseline approach to risk treatment
Using baseline protection makes it possible to apply organization-wide controls as a start, and then to use an in-depth risk assessment to determine the most suitable controls for systems at high risk or systems critical to the business. The baseline approach can be used as well to treat common risks.


Я наверное вас расстрою, но в стандарте ISO/IEC 27005 нет приложения "E.4 Baseline approach to risk treatment", которое вы цитируете. Может быть вы какие-то старые драфты листаете, как в случае с ISO 13335?

From val:
4) в OCTAVE также предлагается как и в п.3


Процитируйте, пожалуйста, что предлагается в OCTAVE. Там тоже есть раздел "Baseline approach to risk treatment"?

с чего начать?

Послано Струнин Иван в 1.Март.2010 19:59
From PoStas:

струна вон ваще помалкивает. Спроси у него - сколько ему на безпеку шеф денег закинул в бюджет на 2010 год?

спасибо за ответы, коллеги)... надеюсь, смогу что-то почерпнуть из тех документов, на которые вы ссылаетесь)... а вот про бюджет - вопрос открыт: пока ничего не закинули(((... но, я полагаю, закинуть могут - фонды есть... надо только обосновать определенную сумму, ну то есть это тоже входит в ту информацию, что я должен предоставить шефу... как-то так)... в связи с этим вопрос - чего просить-то?))) во сколько может все это встать? что на этот год? что дальше?... как я понимаю, пока расходы можно хоть как-то обосновать только на некий аудит ИБ (порекомендуйте, плиз, кого-нибудь), на остальное вряд ли что-нибудь выбью(((... два слова про саму фирму - частный бизнес, порядка 90-100 машин...

с чего начать?

Послано Valentin в 2.Март.2010 22:44

да, в финальной версии это E.1:

ISO/IEC 27005:2008(E)
D.1
Examples of vulnerabilities................................................................................................................42
D.2 Methods for assessment of technical vulnerabilities......................................................................45
Annex E (informative) Information security risk assessment approaches................................................47
E.1 High-level information security risk assessment............................................................................47
E.2 Detailed information security risk assessment...............................................................................48
E.2.1 Example 1 Matrix with predefined values.........................................................................................48
E.2.2 Example 2 Ranking of Threats by Measures of Risk.......................................................................50
E.2.3 Example 3 Assessing a value for the likelihood and the possible consequences of risks........51
Annex F (informative) Constraints for risk reduction...................................................................................53
Bibliography.....................................................................................................................................................55

с чего начать?

Послано Александр Астахов в 3.Март.2010 14:26
From val:
да, в финальной версии это E.1:


E.1 - это про другое. В E.1 нет ни слова о "базовом наборе" (baseline), на который вы ссылаетесь. Там говориться о высокоуровневой оценке рисков.

с чего начать?

Послано Valentin в 4.Март.2010 20:48
финальной версии у меня нет и покупать влом, если убрали то жаль ...

с чего начать?

Послано Макар Гафаров в 8.Март.2010 23:01
From astahov:)предполагается что ответственный за ИБ уже назначен и обучен).

Как понять обучен ответственный или нет? Может порекомендуете курсы в личку.

с чего начать?

Послано Александр Астахов в 8.Март.2010 23:30
From gafarov:
Как понять обучен ответственный или нет? Может порекомендуете курсы в личку.


Я не имел ввиду какие-то конкретные курсы, где могли бы дать все необходимые знания. Процесс обучения в области ИБ значительно более многогранен, нежели хождение на курсы. Курсы занимают далеко не первое место в списке приоритетов. Определенную пользу и с курсов можно извлечь, да я давно их не посещал, поэтому и рекомендовать ничего конкретного не смогу.

с чего начать?

Послано Валерий Домарев в 25.Апрель.2011 19:08
Возвращаясь к началу этой темы, хотелось бы выссказать свое мнение.
Мне кажется, что надо начать с формирования своего представления о СУИБ. Для этого можно воспользоваться моделью СУИБ, которая описана на этом сайте: http://www.iso27000.ru/chitalnyi-zai/upravlenie-informacionnoi-bezopasnostyu/modelirovanie-processov-sozdaniya-i-ocenki-effektivnosti-sistem-zaschity-informacii

А затем,используя системный подход и рекомендуемую программу "Матрица", можно строить СУИБ для своей компании начиная с чего Вам удобно:
- или с определения перечня активов
- или с формирования нормативных документов
- или с анализа рисков
- или исходя из существующей структуры информационной безопасности компании
- или с формирования координационного органа упавления ИБ в вашей компании
- или исходя из возможностей бюджета

В конечном итоге все это взаимосвязанные звенья одной цепи.
И главное надо иметь информационно-методический аппарат для решения всех этих взаимосвязанных задач.

с чего начать?

Послано Александр Астахов в 25.Апрель.2011 19:50
С чего вам удобно построить СУИБ, боюсь, на практике не получится. Например, анализ рисков не получится провести без формирования реестра активов, анализа защищенности, оценки соответствия требованиям, формирования модели угроз и т.п. Правильно сформировать и обосновать бюджет на ИБ не получится без оценки и обработки рисков и т.п.

Недаром стандарты ISO 27001 и ISO 27003 достаточно четко определяют последовательность разработки и внедрения СУИБ. В конечном итоге, действительно, все звенья одной цепи и многие механизмы контроля и технические и организационные могут внедряться одновременно, но последовательность крайне важна, особенно с методической точки зрения.

с чего начать?

Послано Валерий Домарев в 26.Апрель.2011 20:49
Согласен с Вами.
Однако, я пытался выссказать мысль о том, что прежде, чем приступить к реализации требований тех или иных стандартов (а последовательности действий в них не всегда одинакова) необходимо уже иметь некий инструмент управления процессом обеспечения ИБ. Это и есть СУИБ. И если это действительно СИСТЕМА, то все процессы и компоненты в ней должны быть обязательно взаимосвязаны. Это необходимо для того, чтобы наши хаотичные шаги и усилия по обеспечению ИБ (а они всегда будут хаотичны) не пропадали зря, а складывались в "общую корзину".
Ведь даже самй первый шаг не получится сделать успешно с первого раза.
Вот такой инструмент и предлагается для использования сначала в виде модели, а далее в виде конкретной программы.
Суть предлагаемого похода в том, что СИСТЕМА начинает строится не с наполнения ее компонентов и технических решений, а начиная с формирования связей между пока еще "пустыми" компонентами этой системы.
Это в последствии позволяет полностью соответствоать всем методическим рекомендациям стандартов.
Мы ни в коем случае не противоречим им, а только упрощаем свою работу.

Понимаю, что звучит это достаточно странно, однако практические шаги в указанном направленнн позволили совершенно по-иному взглянуть на проблемы ИБ и дали неожиданные интересные результаты.

P.S. Не знаю, можно ли здесь давать ссылки на чужие сайты, что бы не сочли за рекламу?

с чего начать?

Послано Александр Астахов в 26.Апрель.2011 21:04
ссылки давать можно, если они по теме

с чего начать?

Послано Валерий Домарев в 27.Апрель.2011 23:35

Более подробно информацию о системном подходе, моделировании СУИБ, информационно-методическом аппарате "Матрица", а также презентацию по указанным вопросам можно посмотреть здесь:
Материалы про СУИБ "Матрица"

Кроме этого можно
ПОСМОТРЕТЬ видео материалы доклада "Трехмерная модель оценки эффективности СУИБ"(объем 26 МБ)

К сожалению, эти материалы не доведены до уровня законченного коммерческого продукта и поэтому плохо воспринимаются без соответсвующих комментариев.
Однако, на практике "Матрица" зарекомендовала себя положительно и помогла решить многие конкретные задачи обеспечения ИБ, в том числе и в плане внедрения и реализации требований ISO/IEC 27001 и PCI DSS (Payment Card Industry. Data Security Standard).

Повторяю, речь идет не о коммерческом продукте, а скорее о некой совокупности знаний, которые облегчают нелегкий труд по реализации требований стандартов. При этом в полной мере используются все понятия и категории стандартов, а также их методики и рекомендации.

с чего начать?

Послано Nika Aleinikova в 4.Декабрь.2011 20:11
у меня вопрос об оценке рисков. По-моему, новую тему создавать не стоит. насколько это осмысленно привлекать для этого внешних аудиторов на этапе проектировки СУИБ?

с чего начать?

Послано Александр Астахов в 5.Декабрь.2011 08:42
внешних консультантов привлекают когда не хватает внутренних ресурсов или компетенций, а внешних аудиторов привлекают еще когда необходимо провести полностью независимую оценку соответствия и защищенности и сослаться на внешний авторитет.

с чего начать?

Послано Слав Петров в 12.Январь.2012 17:09
Здравствуйте, прочитал ваш вопрос. Прежде всего вы должны обеспечить одобрение руководства для таких действий - в писменной форме.
Потом - мое мнение в самом начале начать с определение области применения системы (что будет в охвате: процессы, активы, сайты, ИТ и т.д.- т.е. что хотите сделать) и с политикой по информационной безопасности - какие цели организации в области безопасности и т.д.
Если вы подскажете есть ли у вас например система управления качества - то я могу вас посоветовать о дальнейших шагов ...
В никаком случае не рекомендую выбрать какое-то отдельное средство управления ИБ и работать по интуиции.
С уважением
Слав

[signature]

[/signature]

с чего начать?

Послано Слав Петров в 12.Январь.2012 17:12
..... а в самом начале, канечно, надо сделать gap анализ - т.е. анализировать какие у вас процессы ОК и где gaps есть...

[signature]

[/signature]

с чего начать?

Послано Слав Петров в 16.Март.2012 23:08
Мой ответь на первый вопрос - пользователя struna:
Международний стандарт в области систем управления информационной безопасностью - ISO 27001:2005
Моя рекомендация - найти консультанта с опытом построения СУИБ, заключить договор с ним на проведение аудита на соответствие с требованиями стандарта (т. наз. GAP анализ). Вы получите доклад с рекомендациями. Когда выбираете своего консультанта вы спросите его где он уже построил системы управления ИБ.

[signature]
Слав Петров
iSMS консультант, ITSMS консультант
IRCA сертифицированный iSMS аудитор
www.mscservices.eu/ru
[/signature]
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex