Концепция аудита ИБ от ФСТЭК

Совершенно случайно наткнулся на сайте ФСТЭК на проект «Концепции аудита ИБ систем информационных технологий и организаций», который разработан НПФ Кристалл (они же основные разработчики стандарта Банка России по ИБ).

Дословно я не вчитывался, но беглый просмотр документа показывает, что читать западные стандарты у нас научились. Везде идут отсылки на стандарты BSI (PD 3003, 3004), ISO 17799, CoBIT, ФЗ «Об аудиторской деятельности», стандарты аудита российской коллегии аудиторов, федеральные правила аудиторской деятельности, цикл PDCA и т.п.

В общем, документ выглядит очень нестандартно для ФСТЭК, которая очень редко использует не то что западный опыт, но и уже принятые российские нормативные акты не особо учитывает.

Документ был разработан еще в 2004 году, но до сих так и не принят ;-(

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    Запись вызвала в очередной раз шальную мысль… (боюсь оказаться непонятым но все таки…)

    Понаписано столько стандартов, проектов стандартов, приказов, распоряжений, рекомендаций и т.п (ключевое слово Столько). Только для их прочтения, не говоря об осознании может уйти пол жизни.

    Складывается ощущение что все эти документы мало того что отстают от технологий которые призваны защищать на пол года и более так и вообще отрываются от реальности и просто невыполнимы.

    Ответить
  2. Алексей Лукацкий

    Зато сколько денег осваивается на написание таких стандартов 😉

    Ответить
  3. Анонимный

    это точно…

    Похоже мы приходим к осознанию ИБ в том числе как некой иерархической структуры абстрактных уровней аля модель OSI (имеется в виду базовая эталонная модель взаимодействия открытых систем).

    где на низших уровнях абстракции находятся электронные элементы а на высших прикладная логика реализованная интерфейсами.

    Например есть некое СрЗИ для windows. Пользователь работат на высшем уровне абстракции — интерфейсе СрЗИ. Само СрЗИ разработано на языке «С++» это средний уровень абстракции. Программы после компиляции выполняются в машинном коде — низший уровень абстракции. (при этом можно низшим считать и процессор ?)

    Удивительно то, что всякие стандарты — они рассматривают вопросы ИБ в рамках некоего своего «уровня абстракции».
    Можно утверждать что любые попытки обеспечить ИБ на высоком уровне абстракции без обеспечения ИБ на более низком(по сути реализующем на более низком уровне высший уровень) приводит к полной несостоятельности. При этом связь между технологиями не всегда просматривается. Проверить же обеспечение на низком уровне абстракции состоятельность более высокого уровня сложно — потому как системы строятся сверху вниз… ))) (если понятно…)

    Вот простой пример…
    Программист разработал программу на паскале… знает ли он что на самом деле происходит в ПК при выполнении программы. Ответ — нет не знает…
    Компилятор выделывает с красивыми несколькими строчками такое!!! и превращает алгоритм работы программы в ТАКОЕ !!! вносит СТОЛЬКО избыточности !!!

    это отдельный конечно разговор, но на вскидку проверено что простая API «MessageBOX» выводящая окошечко с кнопкой «ОК» вызывает около 450 000 машинных команд в системе.

    Ответить
  4. Алексей Лукацкий

    Вот ты загнул 😉

    Ответить
  5. Анонимный

    ))) а я заранее извинился ?!

    Ответить
  6. Aleks305

    сейчас вообще этот проект этого документа удалили с сайта ФСТЭК.так что рано начали хвалить ФСТЭК, Алексей

    Ответить
  7. Aleks305

    сейчас вообще этот проект этого документа удалили с сайта ФСТЭК.так что рано начали хвалить ФСТЭК, Алексей

    Ответить
  8. Алексей Лукацкий

    Да уж

    Ответить