Pages - Menu

Страницы

7.4.08

О моделях зрелости, ISO 27001, 15408, ROI в безопасности и многом другом...

Интересная дискуссия развернулась на форуме по ИБ на банковском сайте bankir.ru. Если по поводу моделей зрелости действительно есть, о чем говорить, то другие темы достаточно интересны. Например, что такое ОУД в ISO 15408? Это уровень доверия к объекту оценки, т.е. системе защиты, или к оценке оценщика? Оказывается есть специалисты, которые уверяют, что вторая трактовка единственно верная, что российской аутентичный перевод 15408 не соответствует оригиналу, и что нашим разработчикам стандарта надо еще многому учиться.

Аналогичная "битва" развернулась и по поводу трактовок ISO 27001. Например, насколько он зависит от экспертной трактовки? Или какая логика используется при аудите - бинарная (есть мера контроля или нет) или иная?

Также интересная дискуссия началась по поводу термина ROI в безопасности. Может ли ROI не учитывать вообще понятие "прибыль"? И как в методике ROI подменяется термин "прибыль" на "потенциальный ущерб".

Если есть желающие подисскутировать, то приглашаю на форум:
- Зрелость бизнеса и ИБ
- ISO 27001 ISMS Toolkit

4 комментария:

  1. то, что переводы на русский международных (и не очень) стандартов ЖУТКИЕ, это не то слово. Я плевался, когда комментил 17799 и 27001 наши, не знаю, в каком виде их в итоге приняли. а уж про РД ГТК что говорить... в нём за 6 лет (с 92 по 98) так не нашли и не исправили фундаментальную ошибку, которая жутко искажала смысл мандатной модели.
    извините, крик души вырвался

    ОтветитьУдалить
  2. > Если есть желающие подискутировать,

    Там участники демонстрируют наличие эрудиции, а не дискутируют.

    ОтветитьУдалить
  3. Не эрудиции, а умении толковать стандарты ;-) Что тоже интересно ;-)

    ОтветитьУдалить
  4. > Не эрудиции, а умение
    > толковать стандарты

    Это я свое впечатление высказал, а не Ваше. Могут ведь они иногда различаться, правда?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.