М
Добрый день. Поясните пожалуйста, что подразумевается под "Своя статистика".
Size: a a a
2019 October 01
AD
если фиксируются инциденты, то можно собирать "свою статистику" по ним
М
И имеется в виду длительность её сбора? Или что?
AD
нет, например вы знаете, что сталкиваетесь с какой-то определенной угрозой каждую неделю, для вас это может быть высоким уровнем вероятности
AD
Насчет того, на что можно "забить" при аудите, то в первую очередь нужно четко знать, какие документы обязательны по ISO 27001, а какие - на усмотрение организации
М
Ага, частота? Спасибо.
DD
Насчет того, на что можно "забить" при аудите, то в первую очередь нужно четко знать, какие документы обязательны по ISO 27001, а какие - на усмотрение организации
Это всё очень "ценно" конечно, но все же, раз уж вопрос заявлен для обсуждения.
DD
Учебники мы все читали, стандарты тоже.
AD
Перечень обязательных документов определен как "documented information", остальные - на ваше усмотрение)
AD
также важно определиться с границами СМИБ, проверяется выполнение требования стандарта именно в рамках зафиксированных процессов.
AD
еще один момент, что нигде не определена детализация документов. Вы можете определить частные политики ИБ и по ним наладить процессы, а уже детальные процедуры определить в процессе совершенствования СМИБ
DD
т.е. то, на что можно забить мы не услышим, ок
DD
также важно определиться с границами СМИБ, проверяется выполнение требования стандарта именно в рамках зафиксированных процессов.
процессы, на которые распрострянается СМИБ, должны быть именно бизнес-процессами или могут быть любой деятельностью?
AD
Если есть четкое понимание, какие процессы входят в "деятельность", то можно оперировать и такими понятиями. Главное, чтобы из них мы могли четко определить, какие активы будем защищать.
DD
Ок, давай так, приведите примеры не корректного определения области СМИБ с т.з. стандарта и/или с вашей точки зрения. (уборка туалетов не в счет)
AD
Например, организация является субъектом КИИ и должна выполнять соответствующие требования ФЗ-187 и вы исключаете из границ СМИБ процессы, которые поддерживаются критической информационной инфраструктурой.
DD
Например, организация является субъектом КИИ и должна выполнять соответствующие требования ФЗ-187 и вы исключаете из границ СМИБ процессы, которые поддерживаются критической информационной инфраструктурой.
Ну хорошо, я хочу сртифицировать оказание услуг пентеста, и не хочу сертифицировать услуги аутсорса, которые я уже 25 лет оказываю крупной авиакомпании. В чем моя ошибка в таком случае?
DD
Тоже самое справедливо и для субъекта КИИ, в чем проблема в сертификации "процесса", который не попадает под 187 ФЗ?
AD
если крупная авиакомпания требует от вас наличие сертифицированной СМИБ/либо как-то еще четко прописывает свои требования к организации ИБ у вас, то аудиторы будут интересоваться причиной "игнора" требований заказчика
DD
Речь не о внешних требованиях, а о корректности выбора области действия СМИБ