Может ли сертификация гарантировать безопасность?
Гарантирует ли безопасность?В любом случае, какая бы сертификация или независимый аудит не был - по SOX, по VISA PCI или аттестация ФСТЭК, все это не может гарантировать непревзойденной и нерушимой безопасности, но, тем не менее, обеспечивает элементарные функции контроля и выполнения известных требований перед регулирующими структурами.
Задача стандарта ISO 27001 и сертификации по нему - не гарантировать безопасность, а обеспечивать работу над ошибками, готовиться к их наступлению (разрабатывать планы действий при их наступлении), по возможности предвидеть будущие проблемы (анализировать риски).Основное внимание должно быть уделено именно контролю со стороны внешних аудиторов, поскольку персонал организации может элементарно не выполнять заявленные требования, также как и неопытный консультант может допустить определенные ошибки.
В таком случае аудиторы не должны допускать сертификации или отзывать/приостанавливать выданный сертификат.
Безопасность - это "процесс, а не цель": постоянно появляются новые угрозы безопасности, существуют социальные атаки (подкуп, шантаж), растет количество сложно обнаруживаемых злоумышленных действий инсайдеров.
"Все течет, все изменяется",- говорили древние философы - это, в частности, применимо к понятию безопасность.
Аудит и контроль позволяют обнаруживать мелкие изменения, крупные же, в свою очередь, должны контролироваться на этапе их одобрения руководством.
Кто прошел сертификациюСогласно реестру сертификатов ISO/IEC 27001:2005 в СНГ, только в России за последние 2 года появилось девять сертифицированных компаний: CMA Small Systems AB, "Крок", Data Fort, РОСНО, "Рутэния", "Лукойл-Информ", Luxsoft, "Межрегиональный ТранзитТелеком" (МТТ), "Ланит" и "ТрансТелеКом".
Это небольшое по сравнению с общемировыми показателями количество.
Тот факт, что в списке в основном находятся ведущие игроки в своей отрасли - говорит о том, что процесс сертификации, видимо, отражает действительность зрелых организаций.
Стоит также отметить, что все указанные компании были сертифицированы известными международными аудиторами.