Здравтсвуйте! Помогите советом, если у меня, к примеру, за год одновременно было две работы по ИБ (по трудовой и по подряду), то могу ли я написать опыт работы 2 года?
И еще вопрос: заручаться поддержкой людей, поддтверждающих твой опыт — это рекомендация или необходимость? И кто эти люди? Мои работодатели?
Хорошо, соглашусь. Действительно, регулятор может повлиять на доступность информации. Однако, как мне представляется, если капнуть в эту сторону, то подобных рисков окажется много (регуляторы есть не только в сфере ИБ, но и др. сферах деятельности организации).
Если регулятор инициирует приостановку деятельности организации, то организация просто будет не иметь права работать (но это не приведет к нарушению доступности информации: информация так же будет находиться на доступных носителях, открывай да смотри, просто делать этого никто не будет, т.к. работать нельзя).
У нас же все так и происходит: есть защита информации, а есть защита от регулятора. Я предлагаю не мешать: котлеты отдельно, мухи отдельно.
1) Чем должен руководствоваться аудитор, выбирая конкретный стандарт? Не смогу ответь Вам подробнее, чем ранее. Наверно, как Вы и предположили, своим здравым смыслом.
Пентесты сначала с грехом пополам здесь использовались, но потом пришлось их убрать, поскольку меня утянуло в другое русло. Задачей сейчас стало именно определение перечня требований, абсолютное выполнение которых скажет о защищенности системы. Пентесты же — это методы проверок (а я пытаюсь определить не как проверять, а что).
П.с. кстати, если Вы обратили внимание, то я не описываю этап проверки выполнения требований. Потому как считаю, что это уже другой вопрос.
2) Блокирование работы организации регулятором — это уже операционные риски, а не риски нарущения ИБ ;)
Гайд действительно написан очень коротко, и я понимаю, что тут есть еще много пробелов. Сейчас просто хочется услышать конструктивную критику на раннем этапе. А дальше проведу аппробацию, тогда и всплывут подробности.
Выражаю Вам, кстати, благодарность за комментарии.
1) Эта методика не имеет отношения и не может использоваться в качестве инструмента для оценки соответствия обязательным стандартам.
Я здесь говорю не о соответствии обязательным требованиям, а о реальной защищенности.
Под выбором стандарта я имею ввиду некий документ, который, по мнению аудитора, наилучшим образом подходит к нашей системе. Это отправная точка, которая должна в наиболее полной форме учитывать специфику нашей системы.
2) Да, конечно, есть требования, нарушение которых не приводит к нарушению ИБ. Про международные стандарты так прямо, без конкретики, не скажу, но что касается российских, то примеров тут много. Самый простой пример — обязательное требование сертификации средств защиты. Отсутствие сертификата не приведет к нарушению свойств ИБ информации. Требование излишне.
По поводу проблем при проведении аудита на соответствие стандартам — это другая песня, см. пункт 1 (описывается аудит защищенности де-факто, не более того).
Information
Rating
Does not participate
Location
Санкт-Петербург, Санкт-Петербург и область, Россия
И еще вопрос: заручаться поддержкой людей, поддтверждающих твой опыт — это рекомендация или необходимость? И кто эти люди? Мои работодатели?
У нас же все так и происходит: есть защита информации, а есть защита от регулятора. Я предлагаю не мешать: котлеты отдельно, мухи отдельно.
Пентесты сначала с грехом пополам здесь использовались, но потом пришлось их убрать, поскольку меня утянуло в другое русло. Задачей сейчас стало именно определение перечня требований, абсолютное выполнение которых скажет о защищенности системы. Пентесты же — это методы проверок (а я пытаюсь определить не как проверять, а что).
П.с. кстати, если Вы обратили внимание, то я не описываю этап проверки выполнения требований. Потому как считаю, что это уже другой вопрос.
2) Блокирование работы организации регулятором — это уже операционные риски, а не риски нарущения ИБ ;)
Гайд действительно написан очень коротко, и я понимаю, что тут есть еще много пробелов. Сейчас просто хочется услышать конструктивную критику на раннем этапе. А дальше проведу аппробацию, тогда и всплывут подробности.
Выражаю Вам, кстати, благодарность за комментарии.
Я здесь говорю не о соответствии обязательным требованиям, а о реальной защищенности.
Под выбором стандарта я имею ввиду некий документ, который, по мнению аудитора, наилучшим образом подходит к нашей системе. Это отправная точка, которая должна в наиболее полной форме учитывать специфику нашей системы.
2) Да, конечно, есть требования, нарушение которых не приводит к нарушению ИБ. Про международные стандарты так прямо, без конкретики, не скажу, но что касается российских, то примеров тут много. Самый простой пример — обязательное требование сертификации средств защиты. Отсутствие сертификата не приведет к нарушению свойств ИБ информации. Требование излишне.
По поводу проблем при проведении аудита на соответствие стандартам — это другая песня, см. пункт 1 (описывается аудит защищенности де-факто, не более того).