Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ФОРУМ Стандарты ИБ Классификация стандартов
Protectiva Compliance Manager

Классификация стандартов

Операции с документом
Вверх к Стандарты ИБ

Классификация стандартов

Послано Евгений Родыгин в 10.Май.2011 15:05
Насколько возможно классифицировать существующие стандарты/требования в области ИБ ?
Прошу помощи/совета по составлению карты-класификатора существующих стандартов/требований.

Использую программу "Mindjet MindManager 9"
В виде картинки ТУТ.
В виде файла проекта ТУТ.

Прошу, если считаете полезным присоединяйтесь к составлению карты.

Классификация стандартов

Послано Александр Астахов в 10.Май.2011 16:48
Для США и Европы классификаторы стандартов и требований уже существуют. UCF (Unified Compliance Framework) используется во многих современных GRC-продуктах. Российский вариант тоже было бы неплохо сделать.

Классификация стандартов

Послано Евгений Родыгин в 11.Май.2011 20:41
Меня интересует такой вопрос. Вот в чем я сомневаюсь...
Я сомневаюсь что удастся классифицировать требования/стандарты по признакам:
- продукция
- услуги
- и т.п.

Со временем можно нарыть документы, но изначально правильно ли я начал ?

Классификация стандартов

Послано Александр Астахов в 12.Май.2011 20:22
Стандартов, руководств, законодательных актов и нормативных документов в области ИБ сейчас слишком много (более 500). Для того, чтобы в этом как-то ориентироваться нужна какая-нибудь классификация. Еще более важная задача - отобразить требования каждого стандарта на общее множество требований ИБ, т.к. многие требования повторяются от одного стандарта к другому. Также не менее важно установить применимость стандартов и конкретных требований к организации в зависимости от формы собственности, сферы деятельности, использовния тех или иных видов информации, наличия тех или иных рисков и т.п. Все эти задачи относятся к области управления Compliance Management.

Можно классифицировать имеющие стандарты например по области применения (по области интересов, для защиты которых разрабатываются документы, или по области права), например:
- Национальная безопасность
- Обеспечение защиты государственных тайн и государственных интересов в информационной сфере
- Корпоративное управление
- Электронная коммерция
- Защита персональных данных
- Защита интеллектуальной собственности и коммерческой тайны
- Защита банковской тайны
- Гражданская и уголовная законодательная база, необходимая для борьбы с преступлениями в информационной сфере
- и т.п.

Можно также классифицировать по виду рассматриваемых вопросов, например:
- общий менеджмент ИБ
- менеджмент рисков
- аудит ИБ
- сетевая безопасность
- безопасность жизненного цикла ПО
- кибербезопасность
- безопасность АСУТП
- безопасность платежных систем
- физическая безопасность
- кадровый менеджмент
- и т.п.

Можно классифицировать по отраслям:
- банковские
- электроэнергетика
- газовая отрасль
- транспорт
- страхование
- и т.д.

По продуктам и услугам тоже можно.

Классификация стандартов

Послано Евгений Родыгин в 13.Май.2011 09:42
Иными словами классифицировать можно по различным критериям,
некоторые группы стандартов лучше классифицировать по одному критерию а другие по другому и тем не менее некоторые одни и те же стандарты попадут и туда и туда...

Таким образом можно смело классифицировать по нескольким критериям а затем попробовать их сводить или формировать "межклассификаторные связи". При этом нужно быть готовым к тому, что четкие связи построить для всех стандартов просто не удастся...

Работа может еще усложниться тем, что стандарт или группа стандартов содержит требования/рекомендации и к документации и к политике и к технике и к технологии и т.п. Для уточнения классификации каждый стандарт разделять на составляющие - это уже за рамками... это практически сложновато.

Прихожу к выводу, что классифицировать нужно по разным критериям, выбирать стандарты по самому яркому признаку и не мудрствовать лукаво...
После этого можно будет взглянуть на более менее общую картину и решить или связи строить или группировать или делать гибридную схему с разными критериями на разных уровнях классификации.

Как Вы считаете ?

Классификация стандартов

Послано Александр Астахов в 16.Май.2011 10:08
Классифицировать все известные стандарты и нормативные документы может быть интересно с методической точки зрения. В этом случае, чем больше критериев классификации используется, тем интереснее.

На практике каждой организации требуется сформировать реестр применимых требований безопасности для контроля соответствия. Если в этот реестр включить не только внешние требования (законодательства, нормативной базы, стандартов), но также и внутренние требования и требования, вытекающие из контрактных обязательств и целей бизнеса, то получится комплексный Профиль защиты организации (по-аналогии с профилями защиты для ОО из ОК). Разработка таких "Профилей защиты" - очень важная практическая задача, никем пока не решенная.

Классификация стандартов

Послано Евгений Родыгин в 16.Май.2011 10:28
From astahov:
Разработка таких "Профилей защиты" - очень важная практическая задача, никем пока не решенная.

Полностью согласен - задача очень интересная, не только не решенная но и не всем доступная с точки зрения ресурсов/необходимости и т.п. К тому же задача "живая" требующая постоянной актуализации и взвешенной оценки. Вспоминается как на госпредприятиях вводятся СМК и т.п. предусматривающие неподьемное число задач.
Я рассматриваю классификацию как элемент добровольной системы сертификации. http://rodigin.blogspot.com/
Ваше сообщение натолкнуло меня на мысль о том, что сертификация просто на некий стандарт возможна, но может появиться много "НО" учитывающее особенности каждого объекта оценки от продукта до самой компании.
Может быть более зрелым подходом будет именно формирование "Пакета соответствия" или "Профиля" включающего в себя как сами стандарты, так и особенности реализации, так и особенности внутренних регламентов стандартов предприятия и т.п. Только проблема.. насколько этот профиль может быть открытым для оценки сообществом ?

Классификация стандартов

Послано Александр Астахов в 16.Май.2011 11:09
Создание еще одной добровольной системы сертификации в области ИБ потребует очень значительных инвестиций. Даже добровольная система сертификации по ISO 27001 пока не пользуется таким спросом в России, чтобы окупить подобные инвестиции. Госструктуры измучены обязательными сертификациями. Банки пытаются подмять под СТО БР. У отраслевых монополий имеются свои системы сертификаций. Отношение к любым сертификациям у всех крайне отрицательное. Шансов на успех еще одной системы сертификации очень мало.

Классификация стандартов

Послано Евгений Родыгин в 16.Май.2011 11:24
А посмотрите на блоге... http://rodigin.blogspot.com/
Там есть презентация... может быть предпосылки для создания появляются ?
Может быть нужен более интересные подходы...

В настоящее время существуют несколько добровольных систем сертификации:

Система добровольной сертификации "ГАЗПРОМСЕРТ". Она создана ОАО "Газпром" приказом от 06 февраля 1999 г. № 10 (регистрационный № РОСС RU.3022.04ГО00 от 17 июля 2000 г.). Ориентирована только на Газпром и его дочерние предприятия. За время существования выдано около 500 сертификатов. Практически все не относятся к средствам защиты информации.

Система добровольной сертификации "АйТиСертифика". Она создана ассоциацией "ЕВРААС" (регистрационный № РОСС RU.М089.04ИТ00). За 4 года выдано 38 сертификатов.

Система добровольной сертификации "Ecomex" (регистрационный № РОСС RU.З680.04УЭТ0). Данная система сертификации создана в сентябре 2010 года в связи с чем широкого распространения она пока не получила.

Классификация стандартов

Послано Александр Астахов в 16.Май.2011 12:21
Самый важный раздел в презентации - бизнес. А там у вас написано: "за все платит потребитель". Потребителю есть резон оплачивать добровольную сертификацию, только если полученный сертификат обеспечит ему ощутимые конкурентные преимущества, либо предоставит гарантии безопасности, подкрепленные финансовыми обязательствами органа по сертификации. Российский потребитель ни только не сможет осознать свои конкурентные преимущества, но даже не сможет отличить ваши сертификаты от прочих добровольно-принудительных, т.к. для него это просто формы отъема денег.

В любой работающей системе сертификации должен быть элемент принуждения, т.е. кто-то (те же клиенты, регуляторы или инвесторы) должен требовать наличия сертификата, иначе стимул к сертификации отсутствует.

Классификация стандартов

Послано Евгений Родыгин в 16.Май.2011 12:25
Буду много думать...
Быстрый ответ
Адреса автоматически превратятся в ссылки. Основные тэги HTML в порядке
Разработано Ploneboard
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex