tag:blogger.com,1999:blog-7314557066073505547.post138632322199753282..comments2022-12-07T02:29:45.629-08:00Comments on Блог Сергея Борисова про ИБ: СОИБ. Анализ. Учить!Сергей Борисовhttp://www.blogger.com/profile/14791407923386673039noreply@blogger.comBlogger11125tag:blogger.com,1999:blog-7314557066073505547.post-40729410106448186232015-09-14T06:28:08.451-07:002015-09-14T06:28:08.451-07:00ser-storchak, "будет ли сотрудник применять е...ser-storchak, "будет ли сотрудник применять её на практике, вот в чем вопрос" - в обеспечении этого состоит ключевое предназначение руководителя этого сотрудника. <br />Внимания этому у нас мало. Собственно надо сказать мало вообще внимания подходам к выстраиванию целостной системы, в которой нужная компетентность обеспечивалась бы. От надзора до конечного пользователя. Здесь нужно брать опыт западных систем сертификации систем менеджмента, в которых аудит - не формальность, а, в частности, - "развести руководителя и подчиненного в разные кабинеты и позадавать им одинаковые вопросы, после чего сравнить показания и сделать вывод "требования к деятельности установлены/не установлены" или "соответствует/не соответствует организация требованиям стандарта".Сергей Городиловhttps://www.blogger.com/profile/16141528674715899373noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-71365256895015451732015-09-08T08:31:35.392-07:002015-09-08T08:31:35.392-07:00Вся ЗИ у нас в основном это комплаенс (особенно в ...Вся ЗИ у нас в основном это комплаенс (особенно в регионах). <br />В нормативных документах у нас теме обучения, информирования и проверке знаний уделяется, незаслуженно мало внимания, с моей точки зрения. А раз нет требований, то никто и на практике ничего не делает в это части. Как следствие уже и неграмотность и невозможность выбить обучение и отсутствие запланированной программы обучения в области ИБ.<br /><br />Думаю что в приказах ФСТЭК или методических рекомендациях вполне можно было заложить требования хотябы аналогичные разделу 8.9 СТО БР ИББС <br /><br />Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-27567004579386190372015-09-08T06:47:31.923-07:002015-09-08T06:47:31.923-07:00От обучения/инструктажа/проверки может необходимая...От обучения/инструктажа/проверки может необходимая компетенция и появится, но будет ли сотрудник применять её на практике, вот в чем вопрос.<br />Сергей, суть Вашей статьи - создать аккредитованные центры по обучению работе с СЗИ и проверке знаний сотрудников или привлечь внимание к проблеме неграмотности персонала и борьбы с ней? ser-storchakhttps://www.blogger.com/profile/16008324160758569280noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-81982232733021464282015-09-08T01:18:24.516-07:002015-09-08T01:18:24.516-07:00Сергей Городилов - опыт конечно нужен.
Изначально...Сергей Городилов - опыт конечно нужен. <br />Изначально мы рассматриваем ответственных без нужного опыта.<br />Можно его набирать в рамках практических занятий на обучении и далее непосредственно в своей работе. <br /><br />ser-storchak - расписаться в ознакомлении с эксплуатационной документацией, ещё не значит что у пользователя или администратора появится необходимая компетенция. Кто-то должен этого пользователя обучить/проинструктировать/проверить. об этом была речь в статье. Если бы в договорах ДБО это более четко расписывалось и если бы Банк ещё и обучал пользователей СКЗИ то было бы просто замечательно. Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-67838122390202486812015-09-08T00:16:32.517-07:002015-09-08T00:16:32.517-07:00Практически в каждой эксплуатационной документации...Практически в каждой эксплуатационной документации к СКЗИ требуется, чтобы работник был с ней ознакомлен и соблюдал прописанные в ней требования. Как правило, выполнение требований эксплуатационной документации является частью договора (например, при работе с ДБО), поэтому их несоблюдение будет являться невыполнением договорных обязательств.ser-storchakhttps://www.blogger.com/profile/16008324160758569280noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-27934561634770024302015-09-04T04:41:10.353-07:002015-09-04T04:41:10.353-07:00Сергей, еще опыт забыли, а это к обучению 80% успе...Сергей, еще опыт забыли, а это к обучению 80% успеха.<br />http://noteasyroute.blogspot.ru/2014/04/blog-post_2.htmlСергей Городиловhttps://www.blogger.com/profile/16141528674715899373noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-86933608435450929682015-09-04T04:36:16.455-07:002015-09-04T04:36:16.455-07:00А вообще приказ 17 вроде бы ссылался на ISO 27001,...А вообще приказ 17 вроде бы ссылался на ISO 27001, где как и в любом стандарте на системы менеджмента про обеспечение компетентности черным по белому написано, причем не просто "учить", а "менеджмент обязан регулярно а) устанавливать требования к компетентности; б) оценивать компетентность; б) принимать меры для обеспечения компетентности".Сергей Городиловhttps://www.blogger.com/profile/16141528674715899373noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-69866546257116342932015-09-04T04:31:34.178-07:002015-09-04T04:31:34.178-07:00Если наделить регуляторов обязанностью проверять к...Если наделить регуляторов обязанностью проверять компетентность и ничего более (никаких документов и т.п.), причем не только ответственного лица, но и выборочно не менее 5-10% персонала из разных отделов, непосредственно обрабатывающих ПДн или другую конфи, или эксплуатирующих СКЗИ, то от надзора толку будет заметно больше. Кругозор операторов в вопросах ЗИ заметно поднимется. Начнется учеба.<br />А еще лучше - ответственных за ЗИ всех через экзамен, как на права сдавать водителей.Сергей Городиловhttps://www.blogger.com/profile/16141528674715899373noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-85278341829767596952015-09-04T03:07:26.682-07:002015-09-04T03:07:26.682-07:00Ну если совсем все на оутсорсе, то и голову ломать...Ну если совсем все на оутсорсе, то и голову ломать не надо. А если юр лицо имеет локальную базу собственных работников и хочет ее защитить собственными силами админов(типовая ситуация) то.<br />http://habrahabr.ru/sandbox/41261/Roman Shttps://www.blogger.com/profile/13424224501197559617noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-81492455168129077772015-09-03T03:54:38.750-07:002015-09-03T03:54:38.750-07:00Роман, с лицензиатами гораздо проще. Тут и ПП 79, ...Роман, с лицензиатами гораздо проще. Тут и ПП 79, ПП 313, приказы и регламенты регуляротов.<br />Но в статье речь шла не о Лицензиатах, а об обычных операторах - заказчиков услуг. Сергей Борисовhttps://www.blogger.com/profile/14791407923386673039noreply@blogger.comtag:blogger.com,1999:blog-7314557066073505547.post-44712603164117956612015-09-03T03:21:33.746-07:002015-09-03T03:21:33.746-07:00Формально требования к знаниям прописаны в ПП 79, ...Формально требования к знаниям прописаны в ПП 79, о лицензировании деятельности по защите конфы.Roman Shttps://www.blogger.com/profile/13424224501197559617noreply@blogger.com