Отсутствие безопасности на фирме.

Профиль · Отправлено: **12:46, 17-11-2003** | #23

Greyman

Цитата:

"Неправда ваша, дяденька Биденко" (с). Как я уже отментил, для НЕспециалиста в ИБ данный документ бесполезен (даже вреден). Поясняю, т. с. "на пальцах": 'Есть ли на фирме утверхженная политика ИБ?' - 'есть', сказал мужик и довольный поставил галочку. А а том, что эта политика должна чему-то соответствовать кто думать будет? Если ее разрабатывал неспециалист, то правильным ответом д. б. - 'НЕТ'. Для специалиста, учавствовавшего в разработке политики, соответствующей требованиям по ИБ данный опросник не нужен. Куда потратить деньги можно найти и без этого, а для успокоения руководства можно найти гораздо более дешевые обоснования, было бы желание.
Моя мысль понятна?

Не поспоришь

Но этот, человеческий, фактор пока непреодолим. Для того и нужны специалисты, работа у них такая. А по поводу, что опросник не нужен - с этим я пожалуй соглашусь. Только тут не опросник тупой, а скорее инструмент проверки ИС на соответствие стандарту ISO17799. Не много другой акцент поставлен.

Кстати, сегодня вышла демо-версия комплекса анализа и контроля рисков "Гриф"! Можно своими руками пощупать. И всего 1,4 Мб. Интересная вещица. Грубо говоря, сначала строится подробная модель ИС системы, потом вводятся различные затраты, отвечаются вопросы по Политике Бузопасности... А потом вуаля - и отчет. Со всеми рисками, соотношением возможного ущерба и рисков... Короче, то что надо.

читать тут http://www.dsec.ru/soft/grif.php
брать тут http://www.dsec.ru/claims/gdemo.php