АС
Не просто бумажка, а бумажка с печатью
Size: a a a
2021 August 09
АС
А дак вебинар ещё за деньги :)))) на ютубе же 1000 и 1 вебинар про это с шаблонами всякими
CK
А ты заплати
Там может чет того чего ты не знал расскажет
Там может чет того чего ты не знал расскажет
TE
Ага, предложит на патреон подписаться
AP
Патреон хорош, там уже более 200 документов собралось за 2 года…
m
Был бы ещё онлифанс...
AP
Ах, если бы дедушка был бабушкой)
m
Ну сейчас это поправимо :)
AP
Ахаха;)
AP
Вебинар всеже не совсем про СУИБ, а в целом про разработку и внедрение внутренних документов по ИБ. Смотреть с позиции 27001 просто намного удобнее и понятнее, поэтому я часто делаю на него отсылки.
AP
AS
мне кажется, смотреть с позиции 27001 гиблое дело, потому что подход 27001 предполагает длинные и скучные документы которые по факту не читаются. рабочие документы должны быть короткими и понятными.
AP
Длинными и скучными их делают разработчики (часто внешние консультанты). 27001 определяет перечень обязательных документов (он довольно небольшой, и там в основном записи), а остальные даёт на откуп самой компании. Плюс 27001 подсвечивает важные требования по управлению документами, например, контроль версионности, регулярное обновление… Они вроде и очевидные, но о них часто забывают/забивают.
AP
Так что 27001 даёт необходимый минимум требований по управлению документами, его полезно знать
AS
топовый документ -- стратегия, "что мы сейчас делаем и зачем", а это две-четыре странички
OP
@aprozorov8020 про стратегию в виде документа вроде бы тоже планировал рассказать
AP
По топовости я бы впереди поставил Политику ИБ, она важнее, в ней общее принципы и верхенеровневые цели и приоритеты. На втором месте - Программа ИБ. Она детальнее и с более коротким сроком. По сути, она под Стратегией, но пользы от неё больше
AS
а вот что с твоей точки зрения будет примером хорошей политики?
туда так или иначе попадает декларативное, а декларативное плохо ложится на мозги как прямое руководство к действию
я как любитель коротких документов считаю, что в политике нужно обрисовать по верхам ключевые ассеты и бизнес-процессы, что мы защищаем и как, а остальное в детальные регламенты уже ситуативного свойства
туда так или иначе попадает декларативное, а декларативное плохо ложится на мозги как прямое руководство к действию
я как любитель коротких документов считаю, что в политике нужно обрисовать по верхам ключевые ассеты и бизнес-процессы, что мы защищаем и как, а остальное в детальные регламенты уже ситуативного свойства
AS
но если это SMB, то нужно наоборот прописать туда "базовую гигиену"
AS
но опять же, коротко