О заблуждениях в безопасности, ставших классикой
А сертификация - это всегда деньги, и деньги немалые.
И тут, помимо оплаты услуг по подготовке компании к ISO 27001, можно заработать еще и на сертификации и - регулярно - на ресертификации компании.
Иными словами, однажды подсадив заказчика на иглу ISO 27001, интегратор или консультант получает стабильный и неплохой доход.
Есть ли другие стандарты, которые подразумевают последующую сертификацию или аттестацию? Да.
Например, ISM3.
Но кто знает или хотя бы слышал про этот стандарт? А ведь он гораздо более интересен, чем ISO 27001.
Более того, он понятен не-специалисту (например, руководителю компании или бизнес-подразделения) и ориентирован на бизнес (в отличие от 27001, ориентированного на внедрение защитных мер).
Но выгодно ли интегратору продвигать его? Нет.
И дело не только в отсутствии знаний и опыта по нему.Значит ли все написанное, что я против стандарта ISO 27001? Нет.
Просто я за то, чтобы данный стандарт воспринимался адекватно - со всеми его достоинствами и недостатками.
Более того, не стоит его воспринимать как истину в последней инстанции, - прежде чем задумываться о внедрении всего ISO 27001 или его части желательно ознакомиться и с другими стандартами и рекомендациями.
И уже после рассмотрения разных альтернатив делать выбор в пользу одной из них.
Не факт, что это будет именно ISOшный стандарт.
Я бы порекомендовал обратить свой взор на стандарт ISM3).Оценка рисковДругая популярная тема в среде специалистов по информационной безопасности - оценка рисков.
Что такое риск в области информационной безопасности? Это некоторая функция, вычислимая на основе двух ключевых параметров - вероятность осуществления угрозы и стоимость нанесения ущерба в результате данной угрозы.
В ряде источников вместо стоимости ущерба используется стоимость защищаемых информационных активов.
Идея оценки рисков в области ИБ достаточно здравая, т.к.
позволяет приоритезировать не только риски, грозящие компании, но и меры управления этими рисками, а также оценивать их в понятных бизнесу финансах.
Но красивая идея столкнулась с тем, что на практике ее нельзя реализовать в принципе.