URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4957
[ Назад ]

Исходное сообщение
"ИБ на предприятии с нуля. С чего начать?????"

Отправлено nakrrul , 24-Окт-11 14:22 
На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста, с чего начать, какие нормативные документы необходимо разработать? Может у кого есть необходимая инфа по данному вопросу или полезные ссылки? Или может существует какое-нибудь руководство по организации ИБ на предприятии?????

Содержание

Сообщения в этом обсуждении
"ИБ на предприятии с нуля. С чего начать?????"
Отправлено Алексей , 24-Окт-11 15:00 
> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
> с чего начать, какие нормативные документы необходимо разработать? Может у кого
> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
> существует какое-нибудь руководство по организации ИБ на предприятии?????

В зависимости от типа предприятия..Что то есть общее для всех, что то присуще только определенным..Слишком расплывчатый вопрос



"ИБ на предприятии с нуля. С чего начать?????"
Отправлено Square , 25-Окт-11 00:46 
>> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
>> с чего начать, какие нормативные документы необходимо разработать? Может у кого
>> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
>> существует какое-нибудь руководство по организации ИБ на предприятии?????
> В зависимости от типа предприятия..Что то есть общее для всех, что то
> присуще только определенным..Слишком расплывчатый вопрос

Неужели вопрос "с чего начать и какие документы необходимо разработать" - слишком расплывчатый?

Или вопрос о полезных ссылках слишком расплывчат?

Или вопрос о руководстве по организации ИБ слишком расплывчат?


"ИБ на предприятии с нуля. С чего начать?????"
Отправлено Аноним , 24-Окт-11 22:05 
> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
> с чего начать, какие нормативные документы необходимо разработать? Может у кого
> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
> существует какое-нибудь руководство по организации ИБ на предприятии?????

Ну раз вы задаете такие вопросы, то видимо надо изучать что это вообще такое и для чего оно нужно


"ИБ на предприятии с нуля. С чего начать?????"
Отправлено Square , 25-Окт-11 00:59 
> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
> с чего начать, какие нормативные документы необходимо разработать? Может у кого
> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
> существует какое-нибудь руководство по организации ИБ на предприятии?????

Здесь вам никто о таком не расскажет. Не тот уровень.
Специалистов по ИБ готовят в высших учебных заведениях, поэтому либо вам стоит принять на работу такового специалиста (и лучше уже с опытом) либо трезво обдумать зачем вам это надо.

Если необходимость в таком отделе обусловлена объективными причинами - то нужен специалист.
И как следствие вопрос в этом форуме сам по себе отпадет.
К объективным причинам можно отнести: взаимодействие с государственными службами по контрактам предполагающим доступ к  данным под грифом, реальная подверженность предприятия угрозам хищения информации, требования предъявляемые иностранными партнерами - соответствие стандартизации по ИСО и т.д..

Если имеет место попугайничанье (у всех есть а у нас нет.. пусть будет, это круто) - то делаете "на коленке" - пишите политику ИБ, ее утверждает гендиректор.
Политика начинается с описания что есть ИБ в вашем предприятии, что именно вы будите защищать (вы конечно в курсе разницы между информацией и данными).
В политике описываете требования к аппаратно-программным вычислительным комплексам используемым у вас, требования к политикам доступа к данным, политикам взаимодействия с внешними контрагентами, политикам хранения. резервного копирования, действиям с отхожими материалами (типа что делать с сломанными сдюками - в шредер их или в костер ,с использованными кртриджами, с черновиками, куда выбрасывать мусор), политики доступа в помещения.. да вобщем там много чего... Люди по этой специальности 5 лет учатся.. а вы хотите чтобы вам на пльцах объяснили?? ТУТ??? Ну вы даете.. :)))
Потом пишите бюджет.. обосновываете его...

Тут в основном технари и самоделкины... а ИБ - это серьезный административный и экономический  вопрос. Мало знать что длинна пароля должна быть не менее 8 символов, содержать маленькие и большые знаки, цифры ,знаки препинания, надо понимать как введение этого ограничения влияет на рост прибыли вашего предприятия, как распределятся риски от убытков после введения политики ИБ.


"ИБ на предприятии с нуля. С чего начать?????"
Отправлено nakrrul , 25-Окт-11 12:43 
Я конечно понимаю что мой вопрос звучит достаточно глупо, но всё же. Я работаю на гос предприятии, так что тут вопрос о бюджете практически не стоит. Я занимаюсь ПД, а в подчинении у моего начальнима есть служба ИБ, народу в ней нет, так как на гос ЗП никто не пойдет. Просто у меня такое чувство, что это скоро плавно перейдёт мне, вот и не хочется чтобы это стало большой неожиданностью, хочется к этому времени хотя бы примерно представлять что и как делать.
У нас в службе ИБ всего один человек числится. Ну в перспективе возможно и прибавят, если я со временем завалю их обоснованиями и невыполнением поставленных задач.
У нас будет две сетки и несколько отдельных компов на которых будет обрабатываться КТ, так что я не думаю что будет очень сложно.
Я знаю что сначала нужно написать концепцию ИБ для данного предприятия, а потом уже политики для конкретных АС, АРМов и всего остального, инструкцию для подразделения ИБ, модели угроз и т. п.
Мне бы просто хотелось увидеть перечень тех нормативных документов, которые обязательно дожны присутствовать в подразделении ИБ.

"ИБ на предприятии с нуля. С чего начать?????"
Отправлено blackpepper , 25-Окт-11 13:43 
>[оверквотинг удален]
> Здесь вам никто о таком не расскажет. Не тот уровень.
> Специалистов по ИБ готовят в высших учебных заведениях, поэтому либо вам стоит
> принять на работу такового специалиста (и лучше уже с опытом) либо
> трезво обдумать зачем вам это надо.
> Если необходимость в таком отделе обусловлена объективными причинами - то нужен специалист.
> И как следствие вопрос в этом форуме сам по себе отпадет.
> К объективным причинам можно отнести: взаимодействие с государственными службами по контрактам
> предполагающим доступ к  данным под грифом, реальная подверженность предприятия угрозам
> хищения информации, требования предъявляемые иностранными партнерами - соответствие
> стандартизации по ИСО и т.д..

Да, всё верно, сразу видать что есть уже опыт :)

>[оверквотинг удален]
> или в костер ,с использованными кртриджами, с черновиками, куда выбрасывать мусор),
> политики доступа в помещения.. да вобщем там много чего... Люди по
> этой специальности 5 лет учатся.. а вы хотите чтобы вам на
> пльцах объяснили?? ТУТ??? Ну вы даете.. :)))
> Потом пишите бюджет.. обосновываете его...
> Тут в основном технари и самоделкины... а ИБ - это серьезный административный
> и экономический  вопрос. Мало знать что длинна пароля должна быть
> не менее 8 символов, содержать маленькие и большые знаки, цифры ,знаки
> препинания, надо понимать как введение этого ограничения влияет на рост прибыли
> вашего предприятия, как распределятся риски от убытков после введения политики ИБ.


"ИБ на предприятии с нуля. С чего начать?????"
Отправлено blackpepper , 25-Окт-11 13:41 
> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
> с чего начать, какие нормативные документы необходимо разработать? Может у кого
> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
> существует какое-нибудь руководство по организации ИБ на предприятии?????

Привет,
стандарт ISO 27001-2005 вам для начала изучить.Еще момент, если Вы админ, то лучше отказаться от непосредственного участия, т.к. задача эта -УПРАВЛЕНЧЕСКАЯ. Успехов.



"ИБ на предприятии с нуля. С чего начать?????"
Отправлено blackpepper , 25-Окт-11 13:47 
>> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
>> с чего начать, какие нормативные документы необходимо разработать? Может у кого
>> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
>> существует какое-нибудь руководство по организации ИБ на предприятии?????
> Привет,
> стандарт ISO 27001-2005 вам для начала изучить.Еще момент, если Вы админ, то
> лучше отказаться от непосредственного участия, т.к. задача эта -УПРАВЛЕНЧЕСКАЯ. Успехов.

P.S. Самое главное - донести до мозга руководства, что ИБ - это не работа IT. Отдел IT -инструмент ИБ.



"ИБ на предприятии с нуля. С чего начать?????"
Отправлено Alex , 25-Окт-11 17:21 
> На предприятии появилась необходимость для создания службы ИБ. Подскажите пожалуйста,
> с чего начать, какие нормативные документы необходимо разработать? Может у кого
> есть необходимая инфа по данному вопросу или полезные ссылки? Или может
> существует какое-нибудь руководство по организации ИБ на предприятии?????

Количество документов зависит от потребностей бизнеса и стандартного набора не существует. В общем случае правильнее всего на данном этапе привлечь человека! с подобным опытом, чтобы не совершать миллиона уже известных ошибок.

Как минимум вы должны озаботиться защитой персональных данных (требование законодательства РФ),определить полный перечень информации, требующей зашиты, провести анализ рисков ИБ, подобрать решения, направленные на минимизацию данных рисков, разработать процессы по обеспечению ИБ.