ISO 27001 в России: модно и бессмысленно

На чтение 1 мин Просмотров 21 Опубликовано 28/09/2007

Ну вот Cnews и опубликовал мое очередное творение на тему ISO 27001. Заранее хочу предупредить, что данная статья писалась не как критика самого стандарта. Он хорош и правилен. Вопрос только в его применимости в России. Причем правильной применимости. Не ставя под сомнение его нужность, просто хочу выделить некоторые «болевые точки», на которые надо обращать внимание при его внедрении или при желании его внедрить. Повторяя заключение к статье: «Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности«.

Читать: http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177

ISO 27001 стандарты

Есть что добавить? Добавьте!

Имя *

Email *

Комментарий

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

Ригель 28/09/2007 в 15:05

Зачем выдавать за процессный подход любое утверждение, в котором присутствует слово «процесс»? Из-за такого нетрадиционного обращения с родными для isoлюбов словами читается малость тяжеловато.

На беглый взгляд (пятница, вечер),
не понравилось только вот что: хотя в тексте и написано, что дискредитирована сертификация по 9001, воспринимается это как «9001 провалился».
А жаль, потому что 27001 не поймут без 9001.

Ответить
arkanoid 28/09/2007 в 15:05

я вот на выставку сходил.. грустно 🙁

http://arkanoid.livejournal.com/184921.html

Ответить
Алексей Лукацкий 28/09/2007 в 18:35

ригелю

Так я про это и пишу ;-( Идея с процессным подходом частично дискредетирована неудачой с 9001 (в массовом сознании). Вот есть Курумоч, а есть Домодедово. Оба сертифицированы на 9001. Но разница просто очевидна ;-( Есть, конечно, примеры положительные с 9001 и такие же будут наверняка с 27001. Главное, чтобы хорошая идея не пропала втуне.

Ответить
Алексей Лукацкий 28/09/2007 в 18:37

Арканоиду:

Увы, могу сказать тоже самое. Прошелся по выставке — единственный плюс — со старыми знакомыми пообщался. Ничего интересного и действительно нового не было ;-(

Ответить
Алексей Лукацкий 28/09/2007 в 20:22

Комментирование еще и тут идет 😉

http://live.cnews.ru/forum/index.php?showtopic=35831

Ответить
Ригель 01/10/2007 в 05:33

> Комментирование еще и тут идет

Массовка поддержана.

На самом деле с объектом сертификации Вы утрируете: сертифицировать ИБ внутреннего процесса отдела ИБ нельзя — это должен быть обязательно бизнес-процесс. Даже и баундариз-то заставляют документально подтверждать (здесь риски принимают на себя заказчики согласно пункту договора, там sla со связистами, сям тоже чужая игра), а уж скоп и тем более такой не просунешь.
Но для гипотетических рассуждений сгодится.

Ответить