Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Русская редакция ISO 27005 "на подходе"
Навигация
 

Русская редакция ISO 27005 "на подходе"

Автор: Александр Астахов опубликовано: 17-09-2008 последнее изменение: 14-03-2009

В начале октября будет выпущена русская редакция международного стандарта ISO/IEC 27005:2008 "Информационные технологии - Методы обеспечения безопасности - Управление рисками информационной безопасности".

Во-первых, следует отметить очень хорошее качество и проработанность нового стандарта. Документ отлично структурирован и явно написан людьми, управляющими реальными рисками в реальных компаниях. Ничего ни убавить, ни прибавить. Материал излагается коротко, четко и посуществу. При чтении стандарта невольно сравнивал с новой методологией GlobalTrust и с удовлетворением отмечал полную совместимость и, во многих местах, тождественность подходов и выводов.

Во-вторых, вопреки ожиданиям, ISO 27005 вовсе не является международной версией BS 7799-3. Более того, в нем даже не встречается упоминания о последнем. Структура и содержание этих стандартов существенно различаются, насколько вообще могут различаться два документа, написанные одними и теми же людьми об одном и том же. Существенно различаются и источники разработки. Неизменным остается лишь общий понятийный аппарат, общий подход и процессы управления рисками. По этой причине BS 7799-3 RU не будет сниматься с продаж, как это было с его предшественниками BS 7799-1 RU и BS 7799-2 RU, и будет продолжать использоваться, наряду с ISO 27005 RU. Эти два документа прекрасно дополняют друг друга.

В-третьих, мы можем видеть, что происходит позитивный процесс замещения старой серии стандартов ИТ безопасности ISO 13335, относительно новой серией стандартов в области управления информационной безопасностью - ISO 27000. В результате данного процесса стандартов становится меньше, а их качество заметно улучшается. Новый стандарт ISO 27005 заменит сразу два морально устаревших стандарта ISO 13335-3 и ISO 13335-4, на базе которых он в основном и был разработан. ISO 27005 также опирается на следующие стандарты управления рисками, перечисленные в его библиографическом списке: ISO Guide 73, ISO 16085, AS/NZS 4360 и NIST SP 800-30. Можно сделать вывод о том, что существующий международный опыт был учтен в полной мере, в отличие от предыдущих стандартов серии ISO 27000, в которых использовались исключительно наработки BSI и других британских организаций.

Другими словами, с управлением рисками дела обстоят нормально, изучайте, осознавайте и начинайте применять на практике. Нет тайного знания, нет шаманства, нет бесполезного теоретизирования, нет оторванных от практики требований и рекомендаций, никому не надо ни до чего "зреть". Все логично, прагматично, доступно и осуществимо в любой организации, как и обещали разработчики.

Comments (1)

Игорь 04-12-2008 08:29

ГОСР

Хорошо бы скачать текст :)
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex