tag:blogger.com,1999:blog-4065770693499115314.post6773832131850290276..comments2023-10-02T12:01:53.774+03:00Comments on Бизнес без опасности: Статистика по подключению к СТОАлексей Лукацкийhttp://www.blogger.com/profile/08434361034703403028noreply@blogger.comBlogger22125tag:blogger.com,1999:blog-4065770693499115314.post-406006934724518762011-02-01T08:11:02.074+03:002011-02-01T08:11:02.074+03:00все таки это не уровень соответствия, а оценка соо...все таки это не уровень соответствия, а оценка соответствия по пятибальной шкале, по варианту самооценки либо внешнего аудита.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-7721489043302387522011-01-29T14:18:39.889+03:002011-01-29T14:18:39.889+03:00Это платные курсы, которые проводят многие УЦЭто платные курсы, которые проводят многие УЦАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-72054757709200019472011-01-29T13:08:45.625+03:002011-01-29T13:08:45.625+03:00И если говорить о смысле Кобита - то в конечном сч...И если говорить о смысле Кобита - то в конечном счете процедура определения уровня зрелости позволяет оценить эффективность использования ИТ в организации в качестве инструмента для ведения бизнеса. Что позволяет определить уровень зрелости по ФСТЭКу, ФСБ и РКН - я так и не понял. Работа ради работы. Оценка - ради оценки. Ерунда какая-то.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-33870083384176078342011-01-29T12:18:51.614+03:002011-01-29T12:18:51.614+03:00to Александр Бондаренко: Абсолютно верно - это Коб...to Александр Бондаренко: Абсолютно верно - это Кобит, позволяющий оценить уровень зрелости ИТ-инфраструктуры организации в т.ч. путем измерения характеристик безопасности. Идея настолько удачная, что ее пихают практически во все корпоративные стандарты аудита, где надо и не надо (и не только для ИТ). Не стал исключением и СТОБР. Но вот смысла я так и не увидел.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-10049346065337466692011-01-29T11:06:17.186+03:002011-01-29T11:06:17.186+03:00Алексей, а о каком семинаре по ПДн идет речь ? Эт...Алексей, а о каком семинаре по ПДн идет речь ? Это был какой-то закрытый семинар ? Не встречал нигде анонсов о его проведении.<br /><br />P.S. А по поводу уровней соответствия это вообще песня, чисто наша российская придумка от разработчиков СТО, если не ошибаюсь родилась она из механизма уровней зрелости, заложенного в Cobit. Только там смысл у них другой и Cobit не является стандартом, обязательным к исполнению как например PCI DSS (там как раз никаких уровней нет, там сделал и выполняешь регулярные мероприятия). А здесь согласно тексту СТО даже нулевой уровень - это тоже уровень соответствия, рекомендуется дойти до 4-го. Только никто же не мешает банкам идти к нему еще лет 10-20.Александр Бондаренкоhttps://www.blogger.com/profile/09563907230879696218noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-24914402141070837452011-01-28T12:23:29.186+03:002011-01-28T12:23:29.186+03:00Мы об ИБ вообще не говорим - мы говорим о подходе ...Мы об ИБ вообще не говорим - мы говорим о подходе регуляторов "сделал - и забыл" и о поиске смысла регулярной оценки соответствия того, что априори уже соответствует, принимая во внимание указанный выше подход :)Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25669084092923378172011-01-28T12:10:03.978+03:002011-01-28T12:10:03.978+03:00Мы же говорим о ИБ не для галочки ;-)Мы же говорим о ИБ не для галочки ;-)Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-944539892367735082011-01-28T12:02:08.023+03:002011-01-28T12:02:08.023+03:00Так а ЦБ-то зачем ее требовать? По нормативам регу...Так а ЦБ-то зачем ее требовать? По нормативам регуляторов, имеется в виду. В большинстве случаев это будет тупое перепечатывание даты первоначального отчета - вот и все. Для подстраховочки?Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85386297721349257592011-01-28T11:53:54.893+03:002011-01-28T11:53:54.893+03:00Этот комментарий был удален автором.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-59496658814452861992011-01-28T11:53:10.561+03:002011-01-28T11:53:10.561+03:00Этот комментарий был удален автором.Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-30797169077162768032011-01-28T11:50:32.474+03:002011-01-28T11:50:32.474+03:00Так об этом и речь ;-) У ФСТЭК поэтому и нет регул...Так об этом и речь ;-) У ФСТЭК поэтому и нет регулярной оценки уровня соответствияАлексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-25947849116699935372011-01-28T11:49:33.782+03:002011-01-28T11:49:33.782+03:00Как можно отклониться от курса в подходе "сде...Как можно отклониться от курса в подходе "сделал - и забыл"? Эсплейн ми плиз :)Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-76838168961244709592011-01-28T11:45:17.020+03:002011-01-28T11:45:17.020+03:00А для чего нужна регулярная оценка соответствия? Ч...А для чего нужна регулярная оценка соответствия? Чтобы знать, что не отклонился от курса.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-64425874762281628382011-01-28T11:43:28.752+03:002011-01-28T11:43:28.752+03:00Мне понятна разница. Мне не понятен СМЫСЛ, м? Люба...Мне понятна разница. Мне не понятен СМЫСЛ, м? Любая оценка - это трудозатраты. Ради чего?Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-23570821905298448752011-01-28T11:37:54.494+03:002011-01-28T11:37:54.494+03:00А у "них" именно забыл и вспоминаешь тол...А у "них" именно забыл и вспоминаешь только перед аттестацией. А у ЦБ постоянно в тонусе ;-) В этом и разница.Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-51399812973892756942011-01-28T11:35:26.329+03:002011-01-28T11:35:26.329+03:00> Смысл регулятору проверять Банк и указывать ч...> Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?<br /><br />То же самое можно сказать и в отношении любого другого оператора, оценившего самого себя продекларировавшего, что все плохо, и составившего план приведения самого себя в соответствие. Вот только если придут регуляторы с внеплановой проверкой - оператор может этот план трубочкой свернуть и себе засунуть в портмоне. А так - просто поглядеть - регулятор и не придет.<br /><br />> Но твоя цель - 4-й и выше. Вот туда и стремись; постепенно...<br /><br />Я согласен, что надо всегда стремиться к пермаментному импрувменту. Но прежде всего необходимо реализовать тот набор мер, который требует законодательство. А вот потом уже - улучшай внутри себя как хочешь. В этой связи мне и не понятен СМЫСЛ оценки соответствия ФСТЭК, ФСБ и РКН - ради чего это делать, если как раз у них - сделал и забыл?Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-67213741257851535912011-01-28T11:07:45.768+03:002011-01-28T11:07:45.768+03:00Ну разумеется речь идет об уровне зрелости/соответ...Ну разумеется речь идет об уровне зрелости/соответствия. К ПП-781 никакого отношения документы ЦБ не имеют. Они более грамотны. У ФСТЭК должен все сделать и забыть. У ЦБ двигаться по спирали вверх, постепенно наращивая усилия и поддерживая уровень защиты.<br /><br />ФСТЭК требует, чтобы ты к 01.07.11 реализовал весь объем приказа 58. ЦБ говорит - оцените себя, составьте план улучшений и двигайтесь по нему. К 01.07.11 ты можешь быть на первом уровне. Но твоя цель - 4-й и выше. Вот туда и стремись; постепенно...Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-85835541912689229692011-01-28T11:04:53.689+03:002011-01-28T11:04:53.689+03:00В том то и дело что пятый уровень зрелости - это н...В том то и дело что пятый уровень зрелости - это не только соответствие, но и постоянная оценка, контроль, совершенствование, планирование и т.п. <br /><br />Выполнение требований регуляторов по минимуму - сравнимо с 3-4 уровнем соответствия.<br /><br />Итоговые уровни - это только результат работы.<br />Зато в рамках работы по самооценки определяется - что ещё не сделано, для того чтобы выполнить требования регуляторов. <br />Это первый шаг к тому чтобы выполнить требования. И регуляторы должны это понимать. <br />Смысл регулятору проверять Банк и указывать что ещё не сделано, если Банк и так уже понял что не сделано и движется в нужном направлении?Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-66403212011492976792011-01-28T10:01:16.240+03:002011-01-28T10:01:16.240+03:00Нет, погодите. Оценивать можно все что угодно, но ...Нет, погодите. Оценивать можно все что угодно, но везде должен быть какой-то смысл. Если мы говорим об оценке показателей вроде "уровня зрелости" - тогда да, возможно. Однако если имеется четкий документ - законодательный акт - 781 ПП. Какой смысл оценивать уровень соответствия? Разве что для того, чтобы видеть, к чему стремиться... И что - если я нахожусь на 1-м отправил по запросу этот частный показатель - от меня отстанут на время, пока я не дойду до пятого?Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-70917697243534859672011-01-28T09:38:47.677+03:002011-01-28T09:38:47.677+03:00Это у ФСТЭК бывает либо все либо ничего ;-) А у ЦБ...Это у ФСТЭК бывает либо все либо ничего ;-) А у ЦБ подхд более грамотный. Складываются частные показатели и выводится текущий уровень соответствия в диапазоне от 0 до 5.<br /><br />А уровни по линиям ФСБ, ФСТЭК и РКН - это частные показатели по методике оценки соответствия, которые запрашиваются по "письму шести".Алексей Лукацкийhttps://www.blogger.com/profile/08434361034703403028noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-81783301644558150522011-01-28T08:42:06.752+03:002011-01-28T08:42:06.752+03:00Присоединюсь к es - это что за уровни? В отношении...Присоединюсь к es - это что за уровни? В отношении нормативных документов, как и законодательства, уровня может быть два: либо соответствует, либо не соответствует. 5 уровней соответствия - что за хрень вообще?Alexey Volkovhttps://www.blogger.com/profile/16477590374990055948noreply@blogger.comtag:blogger.com,1999:blog-4065770693499115314.post-49024091976413999182011-01-28T08:02:59.608+03:002011-01-28T08:02:59.608+03:00А что означает уровень соответствия по линиям ФСБ,...А что означает уровень соответствия по линиям ФСБ, ФСТЭК или РКН?eugenehttps://www.blogger.com/profile/01276109590095207866noreply@blogger.com