Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЧИТАЛЬНЫЙ ЗАЛ Стандарты информационной безопасности Является ли ISO 27001“техническим” стандартом?
Навигация
 

Является ли ISO 27001“техническим” стандартом?

Операции с документом
Некоторые размышления по ISO 27001
 

Я вижу в своей практике, что подавляющее большинство клиентов, приступающие к осуществлению проекта по разработке и внедрению системы управления информационной безопасностью, уверены что это чисто технический ИТ-проект. Многие люди, которые не участвовали в таких реализаций, но слышали о ISO 27001 стандартe, также убеждены, что это чисто технический стандарт. Так говорят и многие специалисты в области ИТ и коммуникаций, которые слышали о стандарте, но никогда не читали его. И между прочим, данный стандарт, классифицируется в группе стандартов ISO- Information technology (Информационные технологии). Кроме того, большая часть средств для управления информационной безопасностью в информационной системе - технические - программное и аппаратное обеспечение. Все эти средства управляются серьезно обученными ИТ специалистами.
А что все это значит? Означает, что стандарт технический.

Да, но это не так! ISO 27001 –не технический, а прежде всего организационный стандарт, какие еще ISO 9001, ISO 14001, OHSAS 18001.

Термины «информация» и «информационная безопасность» не следует вводить нас в заблуждение. Информация может существовать в различных формах: в письменной форме на бумаге, в электронной форме, в виде микрофильмов, обмен информацией в разговоре. И в каждой форме ее существования, система управления информационной безопасностью (СУИБ) должна обеспечить ее безопасности (конфиденциальности, целостности и доступности). Как ни странно это звучит, вполне возможно строить, сертифицировать и эксплуатировать СУИБ организации без компютеров.
Основные задачи в строительстве СУИБ являются: определение области применения системы, определение политики информационной безопасности, оценка рисков. Это, прежде всего стратегические и организационные задачи.

А что насчет обязательных процедур системы? Процедуры для управления документами, внутренных аудитов, корректирующих и предупреждающих действий практически идентичны тем, которые в ISO 9001, с небольшими дополнениями.
А измерение эффективности? Оборудование и программное обеспечение являются лишь средством для достижения определенных целей.
Знаете ли вы, откуда берутся крупнейшие потенциальные угрозиы для системы? Нет, хакеры не являются самыми опасными для вашей системы. Персонал. крупнейшие потенциальные угрозы для системы происходят от ваших сотрудников- из-за некомпетентных или злонамеренных действий или бездействий. И основные средства управления, которые применяются здесь - правовые и организационные действия.
А как же, для таких важных вопросов, таких как предоставление ресурсов для системы со стороны руководства или анализа системы? Являются ли они техническими, а не организационными мероприятиями?
Да, конечно, для обеспечения информационной безопасности системы, в области применения которой находится крупная и сложная информационная система обрабатывающая и хранящая ценную информацию, являются жизненно важными квалифицированные ИТ-специалисты. Но в любом случае, стандарт ISO 27001 требует прежде всего усилия в разработке и реализации организационных мер, даже если онш в области ИТ.

В поддержке этого заявления я расскажу вам о случае неудачной реализации СУИБ. Большая компьютерная компания в Болгарии, начиная реализацию проекта СУИБ, наняла консультантом в реализации системы ведущий ITIL специалист. Проект длился около 8 месяцев и компания инвестировала более € 80 000 в передовых ИТ-технологий для проекта, а также и немало денег для оплаты консультанта. Во время сертификационного аудита были подняты 25 несоответствий со стороны ведущего консультанта (4 основные и 21 вторичных). И угадайте какие корректируюшие меры были предложены после дополнительных 4-х месяцев со стороны компании – организационные меры !

Я надеюсь, что подняты в статье вопрос вызовет различные комментарии и мнения на эту тему.

ПП: Прошу прощения у читателей форума для любых орфографических и стилистических ошибок, так как русский язык не является моим родным языком, но я надеюсь, что эта тема является интересной.

www.mscservices.eu/ru

Comments (3)

Александр Астахов 22-01-2012 11:34

является ли ISO 27001 техническим стандартом?

Для того, чтобы ответить на вопрос является ли ISO 27001 техническим стандартом, надо определиться с понятием технического стандарта. Если под техническим стандартом разуметь стандарт, содержащий требования или описания технических механизмов защиты, тогда ISO 27001 является техническим стандартом (в такой же степени, как и организационным).

ISO 27001 - это стандарт на систему менеджмента, который, в том числе, (в приложении А) содержит перечень организационных и технических механизмов контроля ИБ.
Nika Aleinikova 23-01-2012 07:07

является ли ISO 27001 техническим стандартом?

технический нормативно-правовой акт. как-то так.
если говорить именно о стандарте, то организационно-технический. Но в равной степени. Нельзя отнести к чему-то конкретному
Слав Петров 24-01-2012 09:03

является ли ISO 27001 техническим стандартом?

"Технический стандарт" использован в значении ИТ-стандарта.
Большинство людей, в том числе и некоторые специалисты в области ИТ-решений для информационной безопасности воспринимают ISO 27001 в качестве специализированного ИТ-ориентированного стандарта
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex