по тексту понял что eAD95 понимает раницу между ит безопасностью и безопасностью в целом, в той статье в которую идет ссылка написано на самом деле все в кучу.
Основные свойства для ИБ это достижение оговренных условий в CIA, то есть управление(управление в смысле Managing но не Administering) рисками путем внедрения правил поведения, то есть основных контролей, превентивных, детективных и коррективных. Иб как DevOps это прежде всего культура в организации или человека.
Коллеги, применение лучших практик ничего не стоит, никакие не миллионы которые написаны а статье.
Не зря в последней публикации выделили 4 аспекта и первое это люди и организация. Технологии ни вчем не виноваты, проблема в людях и культуре которая устоялась в организации и в зрелости компании в целом.
Приветствую,
Также как и у KoldunOne по ITILv3 подготовился за неделю, брал урок самостоятельной подготовки за одну т. рублей. При сдаче экзамена подключение к порталу заняло около 20 минут, хотя ширина канала связи была достаточная, видимо какие то ограничения на стороне peoplecert были.
Сейчас читаю ITIL 4, гугление silos и подобных слов по смыслу отнимает приличное время.
На самом деле если пресловутые ИТ процессы не работают и нет зрелости С- левел менеджмента то хоть трижды уеба толку не будет. Я бы сперва рекомендовал сперва как минимум принять стандарт качества или тот же исо20к, иначе деньги на ветер.
Главное это движущиеся силы, наличия заинтересованных сторон в этом решении,
Компетентный CIO, CTO,
Наличия внутренних сервисов, каталог услуг и определенные kpi.
Полномочия CISO, зрелость менеджмента, доставка корректной информации до CEO, или наличие комитета.
Без всего этого трудно реализовать задуманное.
Из небольшого но все же опыта могу сказать что лучше прежде чем внедрять SOC, GRC надо начинать со стандарта качества для всего организации, потом исо20000.
Все это есть в iso:20000 для ИТ и для IS iso:27001, если в статье под активами подразумевается понятие процесс то да, необходимо чтобы каждый департамент ответил вопрос: Какую услугу мы предоставляем? и раздробить на информационные системы которые поддерживает эту услугу, держать список активов в инвентаре и делать риск анализ, принять соглашение между бизнесом и ИТ SLA.
Основные свойства для ИБ это достижение оговренных условий в CIA, то есть управление(управление в смысле Managing но не Administering) рисками путем внедрения правил поведения, то есть основных контролей, превентивных, детективных и коррективных. Иб как DevOps это прежде всего культура в организации или человека.
Дикая дичь а не пост.
Вы сейчас смешали ИТ процессы и контроли ИБ.
Коллеги, применение лучших практик ничего не стоит, никакие не миллионы которые написаны а статье.
Не зря в последней публикации выделили 4 аспекта и первое это люди и организация. Технологии ни вчем не виноваты, проблема в людях и культуре которая устоялась в организации и в зрелости компании в целом.
Также как и у KoldunOne по ITILv3 подготовился за неделю, брал урок самостоятельной подготовки за одну т. рублей. При сдаче экзамена подключение к порталу заняло около 20 минут, хотя ширина канала связи была достаточная, видимо какие то ограничения на стороне peoplecert были.
Сейчас читаю ITIL 4, гугление silos и подобных слов по смыслу отнимает приличное время.
Почему у вас обучение дороже чем в Европе ?
Ближайший центр сдачи только в Москве?
Если я правильно понимаю не во всех центрах где принимают personvue можно сдать экзамен?
Я бы поехал.
На самом деле если пресловутые ИТ процессы не работают и нет зрелости С- левел менеджмента то хоть трижды уеба толку не будет. Я бы сперва рекомендовал сперва как минимум принять стандарт качества или тот же исо20к, иначе деньги на ветер.
Может быть направить эту энергию на развитие линукса? Или на развитие diskcryptor.
Спасибо, с удовольствием прочитал.
Главное это движущиеся силы, наличия заинтересованных сторон в этом решении,
Компетентный CIO, CTO,
Наличия внутренних сервисов, каталог услуг и определенные kpi.
Полномочия CISO, зрелость менеджмента, доставка корректной информации до CEO, или наличие комитета.
Без всего этого трудно реализовать задуманное.
Из небольшого но все же опыта могу сказать что лучше прежде чем внедрять SOC, GRC надо начинать со стандарта качества для всего организации, потом исо20000.
У меня несколько вопросов
У меня пакистанский английский.