Ну вот Cnews и опубликовал мое очередное творение на тему ISO 27001. Заранее хочу предупредить, что данная статья писалась не как критика самого стандарта. Он хорош и правилен. Вопрос только в его применимости в России. Причем правильной применимости. Не ставя под сомнение его нужность, просто хочу выделить некоторые "болевые точки", на которые надо обращать внимание при его внедрении или при желании его внедрить. Повторяя заключение к статье: "Несмотря на достаточно длинную историю, стандарт ISO 27001 пока так и не превратился в России из отвлеченной теории в успешную практику. Необходимо время. Для потребителей. Для консультантов. Для регуляторов. А пока… Не хотелось бы столкнуться с ситуацией, когда управление ИБ (и сертификация этого процесса) у нас будет осуществляться формально, как в большинстве случаев с ISO 9001:2000. Это дискредитирует саму идею сертификации безопасности".
Читать: http://www.cnews.ru/reviews/index.shtml?2007/09/28/268177
Зачем выдавать за процессный подход любое утверждение, в котором присутствует слово "процесс"? Из-за такого нетрадиционного обращения с родными для isoлюбов словами читается малость тяжеловато.
ОтветитьУдалитьНа беглый взгляд (пятница, вечер),
не понравилось только вот что: хотя в тексте и написано, что дискредитирована сертификация по 9001, воспринимается это как "9001 провалился".
А жаль, потому что 27001 не поймут без 9001.
я вот на выставку сходил.. грустно :-(
ОтветитьУдалитьhttp://arkanoid.livejournal.com/184921.html
ригелю
ОтветитьУдалитьТак я про это и пишу ;-( Идея с процессным подходом частично дискредетирована неудачой с 9001 (в массовом сознании). Вот есть Курумоч, а есть Домодедово. Оба сертифицированы на 9001. Но разница просто очевидна ;-( Есть, конечно, примеры положительные с 9001 и такие же будут наверняка с 27001. Главное, чтобы хорошая идея не пропала втуне.
Арканоиду:
ОтветитьУдалитьУвы, могу сказать тоже самое. Прошелся по выставке - единственный плюс - со старыми знакомыми пообщался. Ничего интересного и действительно нового не было ;-(
Комментирование еще и тут идет ;-)
ОтветитьУдалитьhttp://live.cnews.ru/forum/index.php?showtopic=35831
> Комментирование еще и тут идет
ОтветитьУдалитьМассовка поддержана.
На самом деле с объектом сертификации Вы утрируете: сертифицировать ИБ внутреннего процесса отдела ИБ нельзя - это должен быть обязательно бизнес-процесс. Даже и баундариз-то заставляют документально подтверждать (здесь риски принимают на себя заказчики согласно пункту договора, там sla со связистами, сям тоже чужая игра), а уж скоп и тем более такой не просунешь.
Но для гипотетических рассуждений сгодится.