ISO 27001 в России: модно и бессмысленно

Ну вот Cnews и опубликовал мое очередное творение на тему ISO 27001. Заранее хочу предупредить, что данная статья писалась не как критика самого стандарта. Он хорош и правилен. Вопрос только в его применимости в России. Причем правильной применимости. Не ставя под сомнение его нужность, просто хочу выделить некоторые «болевые точки», на которые надо обращать внимание при его внедрении или при желании его внедрить. Повторяя заключение к статье: «Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности«.

Читать: http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    Зачем выдавать за процессный подход любое утверждение, в котором присутствует слово «процесс»? Из-за такого нетрадиционного обращения с родными для isoлюбов словами читается малость тяжеловато.

    На беглый взгляд (пятница, вечер),
    не понравилось только вот что: хотя в тексте и написано, что дискредитирована сертификация по 9001, воспринимается это как «9001 провалился».
    А жаль, потому что 27001 не поймут без 9001.

    Ответить
  2. arkanoid

    я вот на выставку сходил.. грустно 🙁

    http://arkanoid.livejournal.com/184921.html

    Ответить
  3. Алексей Лукацкий

    ригелю

    Так я про это и пишу ;-( Идея с процессным подходом частично дискредетирована неудачой с 9001 (в массовом сознании). Вот есть Курумоч, а есть Домодедово. Оба сертифицированы на 9001. Но разница просто очевидна ;-( Есть, конечно, примеры положительные с 9001 и такие же будут наверняка с 27001. Главное, чтобы хорошая идея не пропала втуне.

    Ответить
  4. Алексей Лукацкий

    Арканоиду:

    Увы, могу сказать тоже самое. Прошелся по выставке — единственный плюс — со старыми знакомыми пообщался. Ничего интересного и действительно нового не было ;-(

    Ответить
  5. Алексей Лукацкий

    Комментирование еще и тут идет 😉

    http://live.cnews.ru/forum/index.php?showtopic=35831

    Ответить
  6. Ригель

    > Комментирование еще и тут идет

    Массовка поддержана.

    На самом деле с объектом сертификации Вы утрируете: сертифицировать ИБ внутреннего процесса отдела ИБ нельзя — это должен быть обязательно бизнес-процесс. Даже и баундариз-то заставляют документально подтверждать (здесь риски принимают на себя заказчики согласно пункту договора, там sla со связистами, сям тоже чужая игра), а уж скоп и тем более такой не просунешь.
    Но для гипотетических рассуждений сгодится.

    Ответить