О заблуждениях в безопасности, ставших классикой
Как говорится, «все течет, все изменяется».
Информационная область - не исключение.
Однако в среде специалистов бытует мнение о некоторых аксиомах, которые не требуют доказательств и пересмотра с течением времени.
Это не так, и в этом материале мы рассмотрим только три заблуждения, которые не только распространены даже среди экспертов по ИБ, но и мешают активному распространению новых подходов и технологий безопасности.ISO 27001О стандарте ISO 27001 (и его русском аналоге в системе Гостандарта) сегодня говорят все - к месту и не к месту.
Интеграторы и консультанты пропагандируют важность и необходимость данного стандарта на каждом углу.
Заказчики под влиянием убедительных слов интеграторов стали активно задумываться о внедрении якобы процессного подхода и сертификации выделенных процессов на соответствие 27001.
А ведь никто даже не задает себе ряд простых и правильных вопросов.
Нужен ли данный стандарт в конкретной ситуации? Нет ли другого, более подходящего стандарта? Нам нужен сертификат или переход ИБ на качественно новый уровень? Мы слепо доверяем словам интеграторов, консультантов, регуляторов и иных «светил ИБ», но.У стандарта ISO 27001 есть ряд особенностей, о которых мало кто знает, догадывается или просто не задумывается.
Во-первых, это не единственный стандарт в области управления ИБ.
Помимо ISO 27001 существует множество других, не менее, а в ряде случаев и более интересных и полезных стандартов.
Например, ISO 13335, ISM3, ISF SoGP, ITU-T X.1051, SPE20003, AS/NZS 4444, SS627799, Canadian Handbook on Information Technology Security, NIST SP 800-12, 800-14, 800-18.
И это не говоря про российский стандарт Банка России СТО БР ИББС-1.0-2006 и различные стандарты управления рисками ИБ - AS/NZS 4360, MAGERIT, MARION, MEHARI и другие, возможно, более известные.
Почему именно ISO 27001? Особенно учитывая необязательность его использования.На мой взгляд, ответ будет простым и циничным - стандарт ISO 27001 является денежным для его апологетов.
В отличие от многих других требований и рекомендаций внедрение ISO 27001 завершается сертификацией компании-заказчика (без сертификации внедрение данного стандарта является в общем-то бессмысленным).