Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Степаныч Продолжим тему СМИБ строительства
Protectiva Compliance Manager
Навигация
 

Продолжим тему СМИБ строительства

Автор: СТЕПАНЫЧ опубликовано: 10-03-2010 последнее изменение: 10-03-2010

На этот раз как и обещал коснемся нормативного обеспечения.

Количество и объем документов регламентирующих те или иные аспекты СМИБ поражает, иной раз можно даже задаться вопросом - зачем это нужно и кто это будет читать?

Потребность в документировании вытекает из следующих постулатов СМИБ – то, что не определено и не документировано, не подлежит проверке и оценке достижения, т.е. не управляемо.

Для снижения нагрузки на мозг пользователей придумана следующая модель - политики (кратко сформулированные требования), процедуры (которые описывают процесс и его участников) и руководства/инструкции (которые детализируют подпроцессы и принципы, на основе которых они осуществляются).

Русский язык, как неоднократно было отмечено, не располагает к кратким формулировкам, в качестве примера можно посмотреть на такую ключевую в жизни фразу как "Помогите!" (Help!). В том числе, по этому, в большинстве западных компаний можно наблюдать все частные подполитики ИБ, размещенные  на одной странице мелким шрифтом.

Другой важный аспект - это термины и определения, то на чем я хотел бы остановиться более подробно. Наблюдаются два подхода в их определении – 1) все, но в одном документе и 2) только употребленные термины в каждом отдельном документе.

Рассмотрим плюсы и минусы таких подходов. В первом случае мы имеет четко по алфавиту структурированные термины, которые с заглавной буквы можно обозначать в других документах, используя в начале документа только ссылку на подобный документ, мы экономим место и повышаем его читабельность. Во втором случае мы, как я уже отметил, используем небольшое количество только специфичных для данного документа терминов, что иногда полезно для терминов впервые вводимых или сложных для запоминания. Мне лично больше нравиться первый вариант, поскольку поддерживать в актуальном виде такой список терминов и определений значительно легче.

Теперь вкратце рассмотрим цели формирования документа "Термины и определения" (aka Глоссарий) и доступные для его формирования материалы.

Основная цель - дать пользователям простой и понятный с токи зрения простых обывателей смысловой аппарат по ИБ, именно по этому, мы сталкиваемся с первой проблемой - практически все глоссарии, используемые в ГОСТ, написаны для специалистов и не понятны пользователям. Еще большая проблема возникает при анализе стандарта ЦБ СТО - в данном случае его разработчики пошли по пути сформировать правильную и непротиворечивую с точки зрения их логики базу терминов - например, "Объект среды информационного актива", нормальный человек обычно просит уточнить -кто придумал такой термин и зачем. Однако он еще не прочитал, как назвали его - "субъект объекта среды информационного актива".

3.25. Объект среды информационного актива: Материальный объект среды использования и(или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).

3.19

1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.

3.33

2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информацию...

Особенно не повезло персоналу Банка - их назвали даже не "персонал" и не "люди", а "субъекты", причем злоумышленника назвали более вежливо - "лицо", причем судя по определению нарушителя, им может быть только субъект:

1 Под собственником здесь понимается субъект хозяйственной деятельности...

2 Под злоумышленником здесь понимается лицо, которое...

3.60. Мониторинг: Постоянное наблюдение за объектами и субъектами...

3.47. Нарушитель информационной безопасности; нарушитель ИБ: Субъект, реализующий...


Однако уже тут, появляется новый термин - персонал, видимо субъекты (в т.ч. руководство Банка и клиенты) не могут быть частью АС:


3.14. Автоматизированная система: Система, состоящая из персонала и комплекса...

Теперь посмотрим на основные термины СМИБ:

3.38. Система менеджмента информационной безопасности; СМИБ: Часть менеджмента организации банковской системы Российской Федерации, предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и совершенствования системы обеспечения ИБ.

3.39. Система обеспечения информационной безопасности; СОИБ: Совокупность СИБ и СМИБ организации банковской системы Российской Федерации.


- т.е. СМИБ в т.ч. "поддерживает" СОИБ, а СОИБ - это и есть в т.ч. СМИБ, в общем что-то само себя анализирует и поддерживает, а заодно и еще один ублюдочный придаток - СИБ.


И в заключении, доступные для формирования глоссария материалы - они безграничны, но мы использовали это:

- ГОСТ Р 51897-2007 "Менеджмент риска. Термины и определения";

- ГОСТ Р 50922-2006 "Защита информации. Основные термины и определения";

- ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения";

- ГОСТ 19781-90 "Обеспечение систем обработки информации программное. Термины и определения";

- ГОСТ Р 22.0.02-94 "Безопасность в чрезвычайных ситуациях. Термины и определения";

- ГОСТ Р ИСО/МЭК 27001:2005 - "Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования";

- Рекомендации по стандартизации  Р 50.1.056—2005 - "Техническая защита информации. Основные термины и определения";

- Руководящий документ ФСТЭК  - "Защита от несанкционированного доступа к информации Термины и определения" Утверждён решением председателя Гостехкомиссии России от 30 марта 1992 г.;

- Стандарт Банка России СТО БР ИББС-1.0-2008 - "Обеспечение информационной безопасности организаций Банковской системы Российской Федерации (Общие положения)".

А также немного отсюда:

- ГОСТ Р 17799:2000

- ГОСТ Р 13335-1:2006

- ГОСТ Р 13569:2007

- ISO 27000, 27005, ...

- Термины и определения из СТР-К и ФЗ - "О коммерческой тайне", "О персональных данных", "О банках и банковской деятельности".


Придется проявить много терпения и сил при согласовании и выборе нужного определения из указанных выше документов, а также для переформулирования его в понятном бизнесу контексте.


Для практики попробуйте выполнить два упражнения - обосновать выбор наилучшего термина из трех:

1) USB-flash - “внешние запоминающие устройства”, “отчуждаемые носители данных”, “мобильные носители данных”?

2) Awareness - осознание, осведомленность или компетентность?


Удачи!

Comments (1)

Александр Астахов 11-03-2010 03:11

СМИБ стоительство

Я тоже было занялся разбором банковского стандарта. Опубликовал первую часть:
http://iso27000.ru/chitalnyi-zai/standarty-informacionnoi-bezopasnosti/uvlekatelnoe-puteshestvie-po-stranicam-rossiiskogo-bankovskogo-standarta-informacionnoi-bezopasnosti-2013-chast-pervaya

Собирался продолжать, да потом надоело, бросил. Кто это наворотил, тот пускай с этим и разбирается.

Для USB-flash подходит любое из трех определений.
Awareness - это осведомленность.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex