Size: a a a

2019 October 01

М

МАН69К in Codeibcommunity
Добрый день. Поясните пожалуйста, что подразумевается под "Своя статистика".
источник

AD

Alexander Dorofeev in Codeibcommunity
если фиксируются инциденты, то можно собирать "свою статистику" по ним
источник

М

МАН69К in Codeibcommunity
И имеется в виду длительность её сбора? Или что?
источник

AD

Alexander Dorofeev in Codeibcommunity
нет, например вы знаете, что сталкиваетесь с какой-то определенной угрозой каждую неделю, для вас это может быть высоким уровнем вероятности
источник

AD

Alexander Dorofeev in Codeibcommunity
Насчет того, на что можно "забить" при аудите, то в первую очередь нужно четко знать, какие документы обязательны по ISO 27001, а какие - на усмотрение организации
источник

М

МАН69К in Codeibcommunity
Ага, частота? Спасибо.
источник

DD

Denis Dubtsov in Codeibcommunity
Alexander Dorofeev
Насчет того, на что можно "забить" при аудите, то в первую очередь нужно четко знать, какие документы обязательны по ISO 27001, а какие - на усмотрение организации
Это всё очень "ценно" конечно, но все же, раз уж вопрос заявлен для обсуждения.
источник

DD

Denis Dubtsov in Codeibcommunity
Учебники мы все читали, стандарты тоже.
источник

AD

Alexander Dorofeev in Codeibcommunity
Перечень обязательных документов определен как "documented information", остальные - на ваше усмотрение)
источник

AD

Alexander Dorofeev in Codeibcommunity
также важно определиться с границами СМИБ, проверяется выполнение требования стандарта именно в рамках зафиксированных процессов.
источник

AD

Alexander Dorofeev in Codeibcommunity
еще один момент, что нигде не определена детализация документов. Вы можете определить частные политики ИБ и по ним наладить процессы, а уже детальные процедуры определить в процессе совершенствования СМИБ
источник

DD

Denis Dubtsov in Codeibcommunity
т.е. то, на что можно забить мы не услышим, ок
источник

DD

Denis Dubtsov in Codeibcommunity
Alexander Dorofeev
также важно определиться с границами СМИБ, проверяется выполнение требования стандарта именно в рамках зафиксированных процессов.
процессы, на которые распрострянается СМИБ, должны быть именно бизнес-процессами или могут быть любой деятельностью?
источник

AD

Alexander Dorofeev in Codeibcommunity
Если есть четкое понимание, какие процессы входят в "деятельность", то можно оперировать и такими понятиями. Главное, чтобы из них мы могли четко определить, какие активы будем защищать.
источник

DD

Denis Dubtsov in Codeibcommunity
Ок, давай так, приведите примеры не корректного определения области СМИБ с т.з. стандарта и/или с вашей точки зрения. (уборка туалетов не в счет)
источник

AD

Alexander Dorofeev in Codeibcommunity
Например, организация является субъектом КИИ и должна выполнять соответствующие требования ФЗ-187 и вы исключаете из границ СМИБ процессы, которые поддерживаются критической информационной инфраструктурой.
источник

DD

Denis Dubtsov in Codeibcommunity
Alexander Dorofeev
Например, организация является субъектом КИИ и должна выполнять соответствующие требования ФЗ-187 и вы исключаете из границ СМИБ процессы, которые поддерживаются критической информационной инфраструктурой.
Ну хорошо, я хочу сртифицировать оказание услуг пентеста, и не хочу сертифицировать услуги аутсорса, которые я уже 25 лет оказываю крупной авиакомпании. В чем моя ошибка в таком случае?
источник

DD

Denis Dubtsov in Codeibcommunity
Тоже самое справедливо и для субъекта КИИ, в чем проблема в сертификации "процесса", который не попадает под 187 ФЗ?
источник

AD

Alexander Dorofeev in Codeibcommunity
если крупная авиакомпания требует от вас наличие сертифицированной СМИБ/либо как-то еще четко прописывает свои требования к организации ИБ у вас, то аудиторы будут интересоваться причиной "игнора" требований заказчика
источник

DD

Denis Dubtsov in Codeibcommunity
Речь не о внешних требованиях, а о корректности выбора области действия СМИБ
источник