Управление информационными рисками

Управление информационными рисками

Предлагаю в данной дискуссии обсуждать все, что связанно с управлением информационными рисками: методики, постановка процесса, инструментарий, интеграция в корпоративную модель управления рисками и т.д.

5 months ago

49 comments

Valentin Sysoev, CISM Ну тогда начнем с самого простого вопроса: кто какую методику оценки рисков использует у себя в организации?

Vladimir Matviychuk, CISA, CISM Мы на нескольких проектах использовали ISF IRAM (пром предприятия), и парочку было NIST(финансовый сектор). Выбирали сознательно проанализировав полтора десятка методологий.
Тут есть сводная таблица по 11 методикам. http://notesonthecuff.blogspot.com/2010/05/blog-post_4381.html
В ближайшее время планирую расписать более подробно.

Valentin Sysoev, CISM Я добре знайомий із NIST та IRAM. Також доводилося працювати із Mesari (це власна методика Credit Agricol, фактично спрощений NIST).
Ввважаю, що для наших банків найбільш підходить IRAM, можливо із деякою модифікацією із врахуванням наших внутрішніх реалій.

Vladimir Matviychuk, CISA, CISM Придерживаюсь тех же взглядов. Самый удобный и всеохватывающий инструмент из тех, с чем приходилось работать. Единственная проблема - не подходит для СМБ. Тут лучше что-то более простое использовать типа OCTAVE

Vladimir Gninyuk Для СМБ предлагал бы многим вообще начинать с OCTAVE Allegro, хотя она позиционируется для самостоятельного использования, но на практике, в нашем СМБ нет ресурса для ее применения. Нравится 800-30 и неплох 27005-й…

Из инструментиков, рекомендовал бы для начала посмотреть Risk Matrix от MITRE, может, кому понравится.

Valeriy Sysoev "NIST не рассматривает оценку уязвимостей."

Владимир, почему NIST не рассматривает оценку уязвимостей?!
А как же:

Step 3. Vulnerability Identification
The analysis of the threat to an IT system must include an analysis of the
vulnerabilities associated with the system environment. The goal of this step is to develop a list of system vulnerabilities (flaws or weaknesses) that could be exploited by the potential threat-sources.
A security requirements checklist contains the basic security standards that can be used to systematically evaluate and identify the vulnerabilities of the assets (personnel, hardware, software, information), nonautomated procedures, processes, and information transfers associated with a given IT system in the following security areas.

Alexey Kornilov На последнем семинаре НБУ по ISO27001одним из докладчиков презентовались разные методики оценки рисков. Из прослушанного, самой адекватной и гибкой мне показалась методика на основе экспертных оценок, как единственная, где надо думать головой - французская Mesari (пишу по памяти, но кажется так). Гугление не дало более подробной инфы, но если есть где нормальное описание методики, то с радостьью бы рассмотерл вопрос о приобретении.

Vladimir Matviychuk, CISA, CISM to Valeriy Sysoev

Пардон, трудности перевода. Имелось в виду exposure assessment

Valeriy Sysoev to Vladimir Matviychuk

Что имеется ввиду под эти термином? Оценка воздействия на актив в результате реализации угрозы (оценка потенциального ущерба)?

Vladimir Matviychuk, CISA, CISM Оценка потенциального ущерба пожалуй сабый близкий по смылсу вариант перевода.

Valeriy Sysoev to Vladimir Matviychuk

Это также есть в Нисте:

STEP 6: IMPACT ANALYSIS
The next major step in measuring level of risk is to determine the adverse impact resulting from a successful threat exercise of a vulnerability.

Vladimir Matviychuk, CISA, CISM Поскольку уже несколько раз задавали вопрос, - небольшой комментарий к сводной таблице по методикам управления рисками (http://notesonthecuff.blogspot.com/2010/05/blog-post_4381.html):

MEHARI это не MESARI. Не смотря на то, что обе методики разработы французами - они разные. MESARI - это поделка Credit Agricole, MEHARI - от Culsif.

Dmytro Ponomarov Владимир,

спасибо за анализ - было интересно изучить! после прочтения у меня возникло несколько вопросов:

* если говорить об it-grundschutz, то лучше аппелировать ихним GSTOOL, поскольку сам it-grundschutz это, по-сути, каталог рекоммендаций. да, безусловно, в итоге, после анализа требований в GSTOOL-е получится анализ и управление рисками, но, всё же сам каталог не содержит методики. я не прав? (ЗЫ сужу по английской версии 2005-го, кстати, очень советую к изучению тем, кто не знаком и очобенно тем, кто жаловался что в ИСО 27001 мало конкретики ;) https://www.bsi.bund.de/cln_174/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgrundschutzcatalogues_node.html. кроме самого каталога на сайте BSI есть несколько стандартов: https://www.bsi.bund.de/cln_174/EN/Publications/BSIStandards/BSIStandards_node.html). Кстати, сам GSTOOL стоит денег, но у него есть опен-сорсный аналог (к сожалению, на данный момент только на немецком, но вдруг кто знает: Verinice, http://www.sernet.de/en/c-a/verinice/)

* что касается сертификации по it-grundschutz - по нему можно сертифицироваться, насколько мне известно. более того, поскольку он основана на ИСО 27001, немцы говорили что возможна крос-сертификация при последнем уровне compliance-a (каталог определяет 3 или 4 уровня, не вспомню сейчас - от базового до full ISO compliant)

* AS/NZS 4360 забыли/опустили или он и есть теперь вот тот первый австралийский handbook?

* ISF-ом кто-то моет поделиться? увы, не встречал, но раз вы советуете, было бы интересно изучить. можно в личку

а так спасибо, очень познавательно!

ну и чтоб не удаляться от темы расскажу вкратце о банке. мы, по-сути, используем несколько методик и уровней анализа и управления информационными рисками.

* - на уровне подразделений риск менеджмента - они используют производную от фреймворка 27005 и отвечают за проведение annual and periodical risk assessment-ов (идентификацию и оценку рисков). к сожалению, в большинстве случаев, у них отсутствуют специфические ИТ-навыки, потому ихний assessment зачастую далеко неполон.

за второй отвечает ИТ-аудит, который помимо идентификаии и оценки отвечает за разработку достаточно детальных компенсационных мероприятий. методика в этом случае используется собственная, частично основанная на немецком MaRisk.

как в первом, так и во втором случае, это не ongoing risk treatment. во многих банках группы эту нишу занимают ИСО, которые работают либо по 27001, либо по 27005. ну и за решения по поводу внедрения компенсационных мероприятий или принятия рисков отвественный локальный менеджмент. вот как-то так.

Vladimir Matviychuk, CISA, CISM Дмитрий, спасибо за комментарии. Признаюсь честно - сравнительный анализ методик делался несколько лет назад. Кое что уже поменялось. Например, MAHARI уже бесплатная и распространяется по GNU лицензии.
Я потихоньку анализ обновляю, закончу - выложу целиком. Плюс есть желание расписать более подробно, что рассматривает, где брать, что заменяет (например MAHARI - заменила CLARION, ISO27005 - ISO13335-3 и т.д.) чтоб не путаться.
Пока буду понемногу постить на блог.

Vladimir Tkachenko Кстати есть еще методика (с Владимиром пытались уточнить) MESARI (бывшая CALION), которую использует для риск менеджмента ИТ проектов Credit Agricole Group. После выяснения лицензионности и интеллектуальных прав, оказалось что вероятней всего она открытая (сам метод). Хотя как по мне то подходит только для вновь разрабатываемых систем. Для существующих трудноприменима.

Vladimir Matviychuk, CISA, CISM Судя по отзывам сотрудников CA, она трудноприменима сама по себе :)

Из французских методик еще интересна Ebios. Она бесплатна и детально покрывает все элементы процесса управления рисками

Maksim Kostyuk Здравствуйте,

to Dmytro Ponomar'ov возможно есть смысл присматреться к решению Compliance and Risk Manager от Lumension, оно значительно упрощает прохождение аудита и управление ИТ-рисками, информация здесь:
Онлайн флеш-ролик с описанием продукта
http://www.lumension.com/Resources/Demo-Center/Overview-Compliance-and-IT-Risk-Management.aspx
Детальная презентация решения с демонстрацией консоли
http://www.lumension.com/Resources/Demo-Center/DemoDetail-Compliance-and-IT-Risk-Mgmt.aspx
Интервью о принципах прохождения ИТ-аудита http://www.lumension.com/Resources/Videos/Naked-Truth-about-Compliance-and-Risk.aspx

просто в своем кратком анализе Вы не упомянули PCI (который как ни как также необходим), возможно BASEL II и COBIT, которые также интересны банкам в Украине.
Каково ваше мнение?

Vladimir Matviychuk, CISA, CISM Пардон, но при чем тут COBIT? В отличие от PCI и базеля COBIT для банков - дело совсем добровольное. И если есть необходимость в COBIT и при этом оценка рисков, то ISACA для этого предлагает RISKIT

Maksim Kostyuk Вы правы не обязателен
я к сожалению не спецеалист в данной области, но мы ведь говорим об управлении информационными рисками. Ведь данный стандарт являеться набором рекомендаций для аудита и управления информационными технологиями. Ведь проходя аудит ИТ или ИБ например, те требования которым соответсвует компания на сегодняшний день или нет, помогут ответить на вопрос каким рискам подвержена организация. Ведь например отвечая на простые вопросы касательно хранит ли сервер sensitive information (простите за инглиш), имеет ли выход в Интернет, сколько человек имеет доступ к ниму, где он установлен на своей площадке или на хостинге и т.д. помагают увидеть те потонцеальные риски которым, повторюсь, компания подвержена.
Именно интересно Ваше мнение )
К стати в штатах Ernst & Young присматривается на инструмент о котором я упомянул ранее.

Vladimir Matviychuk, CISA, CISM Ernst & Young присматривается ко всем инструментам, которые есть на рынке и предсталяют ценность ;)
У lumension тоже есть интересные решения.
Что касается конкретно Compliance and Risk Manager - детально не игрался. По первому ролику впечатление - красивая бесполезная игрушка.
Это мое ИМХО.
Второй ролик к сожалению не открывается. Попробую посмотреть позже - может пересмотрю свое мнение.

Valeriy Sysoev Maksim Kostyuk
Что-то никак не могу уловить вашу мысль! Действительно, аудит ИБ позволяет выявить потенциальные угрозы и уязвимости в системе. В процессе управления рисками и используют эту информацию для определения потенциальных уязвимостей! Но, оценка рисков, это не только выявление уязвимостей, фактически оценка рисков выражается, как функция:
• Вероятность данного источника угрозы реализовать конкретную уязвимость
• Возможный убыток от реализации угрозы
• Адекватность запланированных и введенных контролей для устранения или снижение риска

Maksim Kostyuk Владимир,
можем устроить для Вас демонстрацию в удобное время и сами убедитесь.
Промо ролики- маркетинг который не всегда показывает суть, но без него ни как. В любом случае благодарю за коментарий.

Maksim Kostyuk to Valeriy Sysoev
я и не говорил этого )
Но с этого все начинается ... на мой взгляд. Ведь для чего компании проводят аудит?
Мы ведь не говорим о финансовых рисках или т.д. подробнее о термине риск здесь http://ru.wikipedia.org/wiki/%D0%A0%D0%B8%D1%81%D0%BA

ведь информационный риск - ИТ риск, и кроме выявленияопределения и их оценки (как Вы и написали, спасибо) необходимо еще иметь инструменты для их устранения или управления как говорят за "бугром".

Dmytro Ponomarov Максим, спасибо за информацию.

что касается моего мнения, то я, конечное, люблю всякие красивые репорты и апликешны, особенно если они идут с плюшками, как обычно бывает :) с другой стороны я очень спокойно отношусь к реальному применению подобных инструментов. тому есть несколько объяснений:

1. я не вижу такой уж необходимости применения подобных compliance инструментов в регионе EMEA, где регуляторы достаточно пассивны, а если и активны, то, как правило, их требования специфичны и врядли будут покрыты подобным продуктом. у меня нет опыта работы в американских реалиях, чтоб судить насколько это применимо для них, но по субъективным впечатлениям, могу сказать что, возможно, как раз в их зарегулированной среде это и имеет смысл.

2. идём дальше. PCI DSS и остальные "обязательные". что касается первого, то там достаточно чёткие требования и оценить compliance для внутренних нужд организации силами даже одного человека из этой же организации (аудит, безопасность, риски) за очень короткое время не составит особого труда. что касается Базеля, то, боюсь, никакие compliance tools не спасут от необходимости внешнего аудита - уж очень он специфичен, чтоб так просто оценить уровень внедрения ;) а всё остальное это уже не обязательно для банков ;) для ИСО27001, к примеру, можно купить немецкий GSTOOL за полторы тысячи.

3. основная проблема подобных инструментов это как его "накормить" данными. если это делать в ручную, то, по сути, разница между ведением реестра этой информации в подобном решении или же в экселе - время потраченое на создание диаграмок и репортов. и то только 1 раз (скрипты). если спросите меня, то я бы сказал что идеальным решением для внутреннего использования будет сиквельная база с прикрученым веб-апликейшном для ввода данных. всё остальное ( как репорты так и статистику) можно без проблем получать напрямую из БД.

4. не стоит забывать о минусах внедрения подобных решений ;) так уж сложилось что я примерно могу себе представить во что выльется внедрение, обучение, и интеграция (если вдруг данные будут откуда-то автоматом подтягиваться) как по времени, так и по финансам. соответственно, тут всё зависит от бюджетов и дедлайнов внедрения. если и то, и то позволяет, то отказываться от подобного инструментария, пожалуй, нецелесообразно ;)

Vladimir Tkachenko Почти полностью согласен с Дмитрием по поводу регуляторов и прочего, но раз пошла такая тяга, то в EMEA есть и российская балалайка Digital Security Office
http://dsec.ru/products/dsoffice/

В принципе достойный ответ забугорью. Есть возможность ведения локальной нормативной базы и можно закастомизить для комплаенса даже на внутрикорпоративные стандарты.

Отсутствуют всякие SOX, HIPAA и прочая экзотика. Но это в Украине и не требуется. Кстати я внимательно читал Basel II и не пойму какие там есть 10 отличий от того же 27002 например. Можно в личку а то забросают помидорами.

Dmytro Ponomarov кстати, да - Гриф, Кондор и ещё когда-то была Кобра. не знаю жива ли сейчас.

что касается Базеля - он ведь из другой оперы, я даже не знаю как их сравнивать: банки, риски (кредитные, маркетинговые), capital, securities и прочая. или имеется ввиду общий подход типа как ИСО для безопасности, так и Базель для банков?

Alex Grebenyuk К сожалению, этот продукт никак не годится для УПРАВЛЕНИЯ рисками, так - сяк для оценки. Причем оценки соответствия, поскольку по сути является вариантом самоопросника

Valeriy Sysoev Судя по презентации, единственным вариантом использовния этого продукта в процесе управления рисками, может быть помощь в выборе контролей для уменьшения рисков

Vladimir Matviychuk, CISA, CISM Ну вот, отлучился на пару часов, а за меня уже все написали :)

To Maksim Kostyuk,
Демонстрация - это здорово, но больше интересует описание функционала и возможностей продукта - вот это и это может, вот это и это - нет.

PS Да, и интеграция с ERM есть ?

Vladimir Matviychuk, CISA, CISM To Dmytro Ponomar'ov
на счет базеля - я так понимаю, что всплыл он исходя из того, что
"Операционный риск - риск потери в результате сбоя или неадекватной работы внутренних процессов, людей и систем или в результате внешних событий" - «Sound Practices of the Management and Supervision of Operational Risk». Т.е. информационные риски у нас есть часть операционных. При этом базель не определяет, какая методика должна использоваться. Можем выбрать то, что нам нравится.
Но опять же, остается вопрос интеграции результатов в ERM.

ЗЫ Я в прошлом году для банковских аудиторов на ялтинской конференции (Аудит и контроллинг в банках) читал доклад на тему как увязать базелевские 10 принципов управления операционными рисками с требованиями 27001 (читай отраслевой стандарт Нацбанка). Если интересно - могу поделится материалами.

Valeriy Sysoev Vladimir Matviychuk,
Можете поделиться со мной, очень интересно!
Вышлите, пожалуйста, на valeriy.sysoev@auditagency.com.ua

Dmytro Ponomarov Владимир,
хм. если рассматривать с такой точки зрения, то звучит вполне рационально. но ведь Базель также рассматривает достаточно широкий набор иных рисков, которые не затрагиваются ИСО; иными словами, подмножество рисков Базеля включает (ну или, по-крайней мере должно включать) в себя подмножество рисков из ИСО?

ну и по поводу презентации - мне тоже интересно, моя почта у вас есть :)

Vladimir Matviychuk, CISA, CISM Дмитрий,
Я говорил только про ту часть рисков, которая информационные, которая часть операционных, которая часть базелевских... :)
Конечно базель включает в себя намного больше рисков.

Dmytro Ponomarov фух теперь я спокоен :) ибо мои знания Базеля, увы, очень поверхностны и судить о нём тяжело. скачать и прочитать-то - не проблема, но понимание обычно далеко не сразу приходит :)

Vladimir Matviychuk, CISA, CISM Польза от базеля под большим сомнением. Еще одна кормушка для консультантов. Наравне с SOX, PCI-DSS, законом о персональных данных и т.д.
С другой стороны Нацбанк сказал: "базелю быть" и никуда не денешься.
Скоро должен быть базель 3 - улучшенный и переработанный :-\

Alexey Kornilov Владимир +1. Хотя странно услышать это от вас, обычно тут принято нахваливать "кормящие" стандарты.
Кстати, в одном из номеров "Корпоративных систем" была статья с обзором стандартов безопасности и критиковался исо 27001. И я с не полностью был согласен, но тут думаю меня с черноземом смешают за то, что усомнился в "святыне".

Dmytro Ponomarov ну не знаю, коллеги. у нас риски его усилено внедряют второй год на уровне группы. так вот по моим субъективным впечатлениям, прогрес в риск менеджменте за эти 2 года огромный.

Алексей, а поделитесь свими мнением, что вы считаете полезным из стандартов или лучших практик / рекомендаций.

Alex Grebenyuk 2 Vladimir
Я могу оперировать вашим мнением, как официальным мнением компании - что PCI DSS - только кормушка?

Alex Grebenyuk 2 Алексей
Назовите альтернативу, ну хоть какую то, серьезную. А то будет - "я построил - круто. Как проверял - да я просто знаю что не пробьете"

Alexey Kornilov Все стандарты важны, все они просто супер, лучше не придумаешь и каждый новый лучше предыдущего.
Но, все должно быть ко времени, и соответсвовать организации. Есть хорошая известная статья, она хоть и про программирование больше, но очень хорошо поясняет ситуацию: Джоэль Спольски "Огонь и движение". http://russian.joelonsoftware.com/Articles/FireAndMotion.html

Alexey Kornilov PCI DSS - хороший стандарт, его надо внедрять. Только надо вспомнить сначала в какой части света воруют базы, а в какой части света заставляют стандарт внедрять. А то понимаешь, смотришь на чеки из POS-терминалов американкого волмарта, а там номер карты даже не замаскирован. Безопасность, куда там нам, варварам.

Vladimir Matviychuk, CISA, CISM 2 Alexey Kornilov
Хвалить PCI-DSS особо не за что - от утечек, как уже показала практика, стандарт не спасает. Только от аудиторов.

Если посмотреть на требования стандарта, то ничего нового, чего не было бы в, например в 27001, там нет. Тоже самое, только вид сбоку.

Нужен ли стандарт? Пожалуй нужен, поскольку это лучше, чем ничего.
Вопрос в том достаточно ли его?

>>в одном из номеров "Корпоративных систем" была статья с обзором стандартов безопасности и критиковался исо 27001
Стандарт имеет ряд "белых пятен" и не покрывает некоторые области безопасности. Ни что не идеально. Просто кому-то он достаточен, кому-то избыточен, а кому-то "святыня" :) На одном из недавних проектов я столкнулся с ситуацией, когда 27001 было недостаточно. На этот случай в стандарте написано "если вам не хватает контролей, описанных в стандарте - добавьте их"

2Alex Grebenyuk и Alexey Kornilov
Теперь давайте все-таки определимся с "кормушкой".
Кто не согласен, что любой стандарт, которому нужно соответствовать и есть "последствия" - это кормушка для аудиторов и консультантов - пусть первый бросит в меня камень.
Консультанты живут в том числе с таких кормушек и мы в тоже, к чему лицемерить?

2Alex Grebenyuk
>>Я могу оперировать вашим мнением, как официальным мнением компании - что PCI DSS - только кормушка?
Если вырывать слова из контекста и потом "оперировать" можно получить много интересного.В любом случае это не будет соответствовать истине.

Dmytro Ponomarov Алексей,
ну так если мы посмотрим на столь "нелюбимые" вами стандарты, они ведь все об этом и говорят - о целесообразности применения тех или иных контролей или рекомендаций, в том числе и об экономической составляющей. тот же ИСО. а если взять Cobit, то там вообще специально приведена модель уровней зрелости компаний, с достаточно детальным описанием, чтоб каждая организация, вне зависимости от размера могла решить на что им ориентироваться.

Алекс,
не знаю как Владимир, но я бы, например, не очень хотел чтоб к моему мнению изложеному на страницах дискусий в этой группе аппелировали как к "официальной позиции". мы ведь все тут не несём миссию и видение наших компаний в массы. для этого есть прес-релизы и PR. мне кажется, мы тут просто делимся опытом, наблюдениями и информацией ;)

кстати, что касается "кормушки". судя по моему опыту, внешние консультанты на самом деле нанимаются всего в нескольких случаях: 1) когда этого нельзя избежать, 2) когда в самой компании нет необходимых компетенций или менеджмент не верит в то что конкретные исполнители могут выполнить работу. ну или же это не было достаточно адекватно доведено до них 3) чтоб переложить ответственность: "а вот они сказали что у нас всё хорошо". вот и всё.

Dmytro Ponomarov и ещё, разу уж мы затронули тему PCI DSS.

увы, я не знаю сколько времени занимает внешняя проверка на соответствие и как детально консультатнты анализируют вндрение тех или иных контролей. на основе моего опыта могу сказать что аудиторам, при желании, можно "впарить" то что они хотят услышать и это никогда не составляло проблемы. а происходит это потому что они ограничены по времени, либо потому что у них недостаточно опыта (преокт ведут junior-ы под контролем кого-то из опытных аудиторов). иными словами, внешняя compliance проверка, а зачастую и внутренний аудит отнюдь не гарантирует соответствия требованиям, если конечные исполнители недостаточно промотивированы. и по моему субъективному мнению, это как раз и есть корень основных проблем для организаций.

Alex Grebenyuk я это написал исходя из того, что даже в обсуждениях нужны точные формулировки. "Кормушка" - не согласен. Работайте без внешних консультантов - их наличие нигде не выписано. Велик ли объем рынка аудита ИБ у нас в стране? Прикиньте сами, я полагаю, что вряд ли намного больше миллиона долларов. Объем рынка средств и систем безопасности - примерно 35-42 миллиона. Вот такая цифирь. Аудиторских компаний в Украине по моим данным более 10. Сколько на каждую приходится? Это ак, ИМХО.
При этом аудитор несет ответственность за полноту проверок, поскольку все хотят именно впарить, а сделать так, как надо. При этом забывая, что не системы строятся, а запускаются процедуры безопасности, которым работать и работать.
Ну по самому PCI DSS. Он меняется. Очередная версия ожидается в этом году, где опять изменится система контролей. Стандарт живет, кто желает - может поучаствовать в подготовке новой версии, предложить новые контроли, объяснив - с какими рисками это связано.Насколько он изменится - сказать сложно.
Об утечках. Самое непредсказуемое звено в системе безопасности - человек. Если он захочет слить информацию - ему не нужны технические средства, хватит и головы. Контроль трафика, DLP и пр. помогут? Нет. Предложите всеобъемлющий рецепт борьбы -все безопасники снимут шляпы
И напоследок.... Все сказали про стандарты и насколько они нужны... Но выбирая автомобиль - оценивают характеристики, которые стандартны, заливая бензин, ругаются - что разбавляют, могу еще примеров накидать. Хотя все это уже скучно.

Dmytro Ponomarov ну почему скучно? мне, например, интересно подискутировать... к сожалению, в оргиназцации такая возможность очень ограничена - либо коллеги, либо смежные направления типа рисков. по-сути, собеседников не так много. а тут, даже при наличии совсем критичных замечаний, есть возможность проанализировать чужую точку зрения, поспорить... интересно! ;)

Gleb Paharenko @О стандартах. Мне кажется, западные стандарты заточены под западных людей и их культуру :) Недавно на курсах по 27001 мы решали задачку по BCP, нужно было дать правильный порядок восстановления работы отделов компании. В правильном ответе на первом месте было ИТ, на последнем высшее руководство. Самое интересное, что при решении этой задачи в восточных странах, слушатели всегда ставили на первое место высшее руководоство. Может действительно нужны методологии ориентированные на регион CIS?

Vladimir Matviychuk, CISA, CISM Глеб, я не согласен, что 27001 конкретно ориентирован на какие-то регионы.
Стандарт очень общий и в нем нет ничего специфичного для запада или востока. В большинстве случаев проблемы возникают либо по причине не верного трактования стандарта.
27001 отлично внедряется у нас в регионе. Говорю это исходя из прошлых и текущий проектов по внедрению требований.

На счет задачи про BCP - это нормальная реакция. На практике руководство компаний тоже в начале говорит, что сначала их а потом все остальные, что все системы должны работать 24х7. Потом показываешь им в деньгах последствия и все становится на свои места.

ЗЫ Единственное, что меня смущает в єтом вопросе, это то, что последние 2 страницы дискуссии - оффтопик (тема управления рисками) ;)

5 months ago
Comments