Интересная дискуссия развернулась на форуме по ИБ на банковском сайте bankir.ru. Если по поводу моделей зрелости действительно есть, о чем говорить, то другие темы достаточно интересны. Например, что такое ОУД в ISO 15408? Это уровень доверия к объекту оценки, т.е. системе защиты, или к оценке оценщика? Оказывается есть специалисты, которые уверяют, что вторая трактовка единственно верная, что российской аутентичный перевод 15408 не соответствует оригиналу, и что нашим разработчикам стандарта надо еще многому учиться.
Аналогичная "битва" развернулась и по поводу трактовок ISO 27001. Например, насколько он зависит от экспертной трактовки? Или какая логика используется при аудите - бинарная (есть мера контроля или нет) или иная?
Также интересная дискуссия началась по поводу термина ROI в безопасности. Может ли ROI не учитывать вообще понятие "прибыль"? И как в методике ROI подменяется термин "прибыль" на "потенциальный ущерб".
Если есть желающие подисскутировать, то приглашаю на форум:
- Зрелость бизнеса и ИБ
- ISO 27001 ISMS Toolkit
то, что переводы на русский международных (и не очень) стандартов ЖУТКИЕ, это не то слово. Я плевался, когда комментил 17799 и 27001 наши, не знаю, в каком виде их в итоге приняли. а уж про РД ГТК что говорить... в нём за 6 лет (с 92 по 98) так не нашли и не исправили фундаментальную ошибку, которая жутко искажала смысл мандатной модели.
ОтветитьУдалитьизвините, крик души вырвался
> Если есть желающие подискутировать,
ОтветитьУдалитьТам участники демонстрируют наличие эрудиции, а не дискутируют.
Не эрудиции, а умении толковать стандарты ;-) Что тоже интересно ;-)
ОтветитьУдалить> Не эрудиции, а умение
ОтветитьУдалить> толковать стандарты
Это я свое впечатление высказал, а не Ваше. Могут ведь они иногда различаться, правда?