Несколько месяцев назад компания LETA, в которой в том числе работает ваш покорный слуга, прошла сертификацию системы управления ИБ в соответствии со стандартом ISO27001.
Для нас конечно же это не стало чем-то экстраординарным, т.к. подобные услуги мы оказываем давно. Тем не менее, как человек, участвоваший в этом проекте, хочу поделится некоторыми наблюдениями:
- сертификация - вполне выполнимая цель, если все делать как надо, но если хотите добиться результата относительно быстро то лучше все же обратиться к тем, кто уже имеет опыт прохождения этой процедуры;
- если в компании отсутствует система менеджмента ИБ, то на ее создание уйдет примерно 1 год, если в том или ином виде элементы управления присутствуют, то привести все в порядок можно и за полгода;
- как бы не ругали сертификацию, но ее наличие является дополнительным фактором, дисциплинирующим практику ИБ в компании, т.к. наличие внешнего проверяющего, который с регулярностью будет оценивать состояние процессов управления ИБ, держит в тонусе всех ответственных лиц;
Кстати, в свете последних веяний по признанию стандартов по обеспечению ИБ в контексте требований 152-ФЗ, вполне реально внедрять СУИБ в т.ч. для защиты ПДн. А так как сандарт ISO 27001 еще и принят у нас в качестве ГОСТ, то тут вообще не придерешься.
Facebook
Сколько человек в скопе?
ОтветитьУдалитьКак всегда - сервис-деск :) ИМХО сертификация по ИСО и реальное ИБ имеют между собой мало общего. Хотя и имеют.
ОтветитьУдалитьНет коллеги, не сервис-деск, мы пошли честным путем и защитили важный бизнес-процесс. Посмотрите новость по ссылке. Сертифицирован один из процессов, связанных с оказанием консалтинговых услуг. В скопе - 25 человек, но правила распространяются на всю компанию и скоуп в перспективе будет расширен на другие процессы
ОтветитьУдалитьЗащищать неважный бизнес-процесс орган по сертификации не дает, если что. А 25 - это, наверно, самая маленькая сертификация пока из российских.
ОтветитьУдалитьНо все равно поздравляю - впереди столько интересного, ибо именно сопровождение дает глубокое понимание.
Да ладно - не дает. Сам BSI на курсах по этому поводу говорит, что все как правило сертифицируют сервис-деск. Своими ушами слышал тамо сидючи - и у них на сайте можно поглядеть, кто что сертифицировал. Без проблем - им пофиг, бабло же.
ОтветитьУдалитьТем не менее ты прав - именно сопровождение дает глубокое понимание и возможность распространить ИСОшную опухоль на всю контору. Потому она и доброкачественная.
Для ИТ-компании (!) клиентский саппорт действительно лучший выбор - самая горячая и стабильно существующая услуга.
ОтветитьУдалитьТак ИТ-шный сервис-деск любой конторы (если есть) - то же самое, один в один. И по факту он реально важен тем, у кого ИТ - неотъемлемый инструмент для ведения бизнеса.
ОтветитьУдалитьКак заинтересовать руководство в исо 27хх - вот в чем вопрос.. Писал подробнее на банкире об этом тут.. http://bankir.ru/dom/showthread.php?t=107094
ОтветитьУдалитьИм и так зашибись, ниче не интересует.
Лете поздравления.
Никак. Я бы даже был противник бессмысленных трат, если бы не было реального выхлопа для бизнеса. Но выхлоп можно получить в случаях:
ОтветитьУдалить1. Ты - высокотехнологичная компания, работающая на другие высокотехнологичные компании
2. Ты - стратегический монополист и делаешь то, чего делают очень мало во всем мире
3. Ты - консалтер, предлагающий услуги по подготовке к сертификации, и не иметь желанного сертификата ты просто не можешь.
4. Ты - контора, работающая с иностранцами, и сделка на миллиард евро может не состояться от отсутствия сертификата ИСО за миллион евро.
Во всех остальных случаях сертификация - это пшик.
Дело даже не в сертификации. Оценка рисков - основа ИБ предприятия. Оценка рисков наиболее системно описана в стандартах типа ИСО 27хх.
ОтветитьУдалитьКогда вы говорите,что стандарты не нужны - вы ИМХО говорите, что не нужна ИБ. За исключением некоторых случаев.. когда компания продает ИБ решения ..А покупает их клиент в целях обеспечения соответствиях требованиям закона , например.
Здравствуйте! Присоединяйтесь к обсуждению новой книги по СУИБ. Если Вас интересует, как можно повысить эффективность Компании с помощью внедрения системы управления информационной безопасностью (СУИБ), или интересует сертификация по международному стандарту ISO 27001, заходите на сайт http://suibforceo.ru/ В настоящий момент ну эту тему пишется книга, вы можете поучаствовать в ее обсуждении и узнать ответы на интересующие вас вопросы в этой области. Приглашаю!
ОтветитьУдалить