Интересная дискуссия развернулась на форуме по ИБ на банковском сайте bankir.ru. Если по поводу моделей зрелости действительно есть, о чем говорить, то другие темы достаточно интересны. Например, что такое ОУД в ISO 15408? Это уровень доверия к объекту оценки, т.е. системе защиты, или к оценке оценщика? Оказывается есть специалисты, которые уверяют, что вторая трактовка единственно верная, что российской аутентичный перевод 15408 не соответствует оригиналу, и что нашим разработчикам стандарта надо еще многому учиться.
Аналогичная «битва» развернулась и по поводу трактовок ISO 27001. Например, насколько он зависит от экспертной трактовки? Или какая логика используется при аудите — бинарная (есть мера контроля или нет) или иная?
Также интересная дискуссия началась по поводу термина ROI в безопасности. Может ли ROI не учитывать вообще понятие «прибыль»? И как в методике ROI подменяется термин «прибыль» на «потенциальный ущерб».
Если есть желающие подисскутировать, то приглашаю на форум:
— Зрелость бизнеса и ИБ
— ISO 27001 ISMS Toolkit
то, что переводы на русский международных (и не очень) стандартов ЖУТКИЕ, это не то слово. Я плевался, когда комментил 17799 и 27001 наши, не знаю, в каком виде их в итоге приняли. а уж про РД ГТК что говорить… в нём за 6 лет (с 92 по 98) так не нашли и не исправили фундаментальную ошибку, которая жутко искажала смысл мандатной модели.
извините, крик души вырвался
> Если есть желающие подискутировать,
Там участники демонстрируют наличие эрудиции, а не дискутируют.
Не эрудиции, а умении толковать стандарты 😉 Что тоже интересно 😉
> Не эрудиции, а умение
> толковать стандарты
Это я свое впечатление высказал, а не Ваше. Могут ведь они иногда различаться, правда?