07.04.2008

О моделях зрелости, ISO 27001, 15408, ROI в безопасности и многом другом...

Интересная дискуссия развернулась на форуме по ИБ на банковском сайте bankir.ru. Если по поводу моделей зрелости действительно есть, о чем говорить, то другие темы достаточно интересны. Например, что такое ОУД в ISO 15408? Это уровень доверия к объекту оценки, т.е. системе защиты, или к оценке оценщика? Оказывается есть специалисты, которые уверяют, что вторая трактовка единственно верная, что российской аутентичный перевод 15408 не соответствует оригиналу, и что нашим разработчикам стандарта надо еще многому учиться.

Аналогичная "битва" развернулась и по поводу трактовок ISO 27001. Например, насколько он зависит от экспертной трактовки? Или какая логика используется при аудите - бинарная (есть мера контроля или нет) или иная?

Также интересная дискуссия началась по поводу термина ROI в безопасности. Может ли ROI не учитывать вообще понятие "прибыль"? И как в методике ROI подменяется термин "прибыль" на "потенциальный ущерб".

Если есть желающие подисскутировать, то приглашаю на форум:
- Зрелость бизнеса и ИБ
- ISO 27001 ISMS Toolkit

4 коммент.:

e1am0 комментирует...

то, что переводы на русский международных (и не очень) стандартов ЖУТКИЕ, это не то слово. Я плевался, когда комментил 17799 и 27001 наши, не знаю, в каком виде их в итоге приняли. а уж про РД ГТК что говорить... в нём за 6 лет (с 92 по 98) так не нашли и не исправили фундаментальную ошибку, которая жутко искажала смысл мандатной модели.
извините, крик души вырвался

Анонимный комментирует...

> Если есть желающие подискутировать,

Там участники демонстрируют наличие эрудиции, а не дискутируют.

Алексей Лукацкий комментирует...

Не эрудиции, а умении толковать стандарты ;-) Что тоже интересно ;-)

Ригель комментирует...

> Не эрудиции, а умение
> толковать стандарты

Это я свое впечатление высказал, а не Ваше. Могут ведь они иногда различаться, правда?