Комментарии 13
Мне лично политика ОАО «Газпромбанк» показалась более понятной, нежели политика АО НК «КазМунайГаз».
Краткость, не всегда идет на пользу, тем более когда косается информационной безопасности, где все должно быть разжевано и разложено по полочком, что бы в случае чего можно было найти крайнего.
Краткость, не всегда идет на пользу, тем более когда косается информационной безопасности, где все должно быть разжевано и разложено по полочком, что бы в случае чего можно было найти крайнего.
Политика ИБ это документ не только для безопасников. Это документ для всех. Политика устанавливает направления деятельности.
А вот как эти направления будут реализовываться — это уже другой вопрос. Для этого нужно разрабатывать инструкции, регламенты и прочее.
Попробуйте рассказать совету директоров о лог-менеджменте и модели нарушителя. Никто просто не поймет, что вы хотите до них донести.
А вот как эти направления будут реализовываться — это уже другой вопрос. Для этого нужно разрабатывать инструкции, регламенты и прочее.
Попробуйте рассказать совету директоров о лог-менеджменте и модели нарушителя. Никто просто не поймет, что вы хотите до них донести.
Ваш комментарий написан со стороны технаря.
Попробуйте взглянуть на вопрос со стороны руководителя компании, имеющего финансовое образование.
Попробуйте взглянуть на вопрос со стороны руководителя компании, имеющего финансовое образование.
Тут вы правы отчасти, т.к. вижу все это со стороны технаря и руководителя компании, )) и хочется видеть документ более детализированней.
Позвольте задать вам несколько вопросов. Вы разрабатывали политику ИБ? Совершали ежеквартальный пересмотр? Каков штат компании, для которой применяли политику?
1. После вашего поста думаю, что начну.
2. Нет
3. 4 — автоматизированны, 6 — AD без автоматизации, 7 — вручную с бумажками.
Сложно для этого венегрета создать единую ПИБ.
2. Нет
3. 4 — автоматизированны, 6 — AD без автоматизации, 7 — вручную с бумажками.
Сложно для этого венегрета создать единую ПИБ.
Если следовать моей логике, то организовать систему управления ИБ как раз несложно.
Для этого вам надо:
1) разработать саму ПИБ, в которой вы опишите, что вы должны и будете стараться снизить риски, а все остальные должны вам в этом помогать под страхом административной ответственности (как раз 2-3 страницы)
2) идентифицировать типы КИ и описать их в документе «Положение о КИ» (тоже 2-3 страницы)
3) проанализировать бизнес-процессы и разработать регламенты защиты для автоматизированных и неавтоматизированных систем; этими регламентами будут пользоваться админы, безопасники и прочий контролирующий персонал
4) разработать некие «Порядки использования СВТ» и «Порядки работы с КИ на бумажном носителе», в которых вы пропишете обязаности пользователя при работе с системой; этим будет пользоваться персонал исполнительный
Естественно, все эти документы подчиняются ПИБ и кореллируют с ней в разрезе управления рисками.
При этом вы получите:
1) ПИБ, которая практически никогда не будет меняться
2) Список КИ, который будет меняться чуть чаще, чем «практически никогда»
3) инструкции и регламенты, которые будут изменяться в зависимости от изменения бизнес-процессов.
В моей организации (over 1000 пользователей/over 50 бизнес-процессов) это самый приемлемый вариант.
Регламенты приходят и уходят, ПИБ неизменна. Собственно, так же, как и должно быть в государстве. Чем выше уровень документа, тем реже он изменяется.
Для этого вам надо:
1) разработать саму ПИБ, в которой вы опишите, что вы должны и будете стараться снизить риски, а все остальные должны вам в этом помогать под страхом административной ответственности (как раз 2-3 страницы)
2) идентифицировать типы КИ и описать их в документе «Положение о КИ» (тоже 2-3 страницы)
3) проанализировать бизнес-процессы и разработать регламенты защиты для автоматизированных и неавтоматизированных систем; этими регламентами будут пользоваться админы, безопасники и прочий контролирующий персонал
4) разработать некие «Порядки использования СВТ» и «Порядки работы с КИ на бумажном носителе», в которых вы пропишете обязаности пользователя при работе с системой; этим будет пользоваться персонал исполнительный
Естественно, все эти документы подчиняются ПИБ и кореллируют с ней в разрезе управления рисками.
При этом вы получите:
1) ПИБ, которая практически никогда не будет меняться
2) Список КИ, который будет меняться чуть чаще, чем «практически никогда»
3) инструкции и регламенты, которые будут изменяться в зависимости от изменения бизнес-процессов.
В моей организации (over 1000 пользователей/over 50 бизнес-процессов) это самый приемлемый вариант.
Регламенты приходят и уходят, ПИБ неизменна. Собственно, так же, как и должно быть в государстве. Чем выше уровень документа, тем реже он изменяется.
Плюсы от подобной реализации заключаются в том, что при разработке ПИБ вам не нужно описывать и вникать во все творящиеся в компании процессы. Соответственно, при изменении этих процессов вам не нужно изменять ПИБ!
Коротенький мануал, думал что-то подчеркнуть для своего диплома
Добавил UPD001
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Политика информационной безопасности — опыт разработки и рекомендации