Может ли сертификация гарантировать безопасность?
Начнем с того, что все работы по созданию СУИБ начинаются только после документирования в первую очередь бизнес-целей и уже после того - целей СУИБ.
Достижение этих целей является смыслом процесса анализа со стороны руководства.
Получение новых контрактов, выход на новые рынки, привлечение инвестиций, повышение привлекательности при слиянии и продаже бизнеса, повышение рейтинга компании международными рейтинговыми агентствами - это только малая часть того, почему руководители компаний задумываются о создании СУИБ по международным стандартам и ее сертификации.
Нужно отметить, что те компании на российском рынке, которые уже сертифицировались, не только имеют четкие цели в этой части, но многие их уже достигли в той или иной мере.
Николай Федотов: Безопасность - предмет темный Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик InfoWatch.
Не вполне ясно, чем подтверждается мнение, что сертификация "не работает".
В отношении ISO-9001 об этом можно судить, например, по увеличению сбыта.
А как померить улучшение информационной безопасности? Ее влияние на финансовые показатели компании весьма опосредовано.
Тем более что безопасность, как известно, не приносит прибыль, а избавляет от убытков, да и то не всегда.На наш взгляд, сертификация по 27001 приносит выгоды не столько самой сертифицированной компании, сколько ее менеджменту.
В силу упомянутой особенности ИБ, трудно оценить эффективность вложений в нее.
Скажем, потратила компания кучу денег на организацию защиты, на соответствующее оборудование и специалистов.
Никаких значимых инцидентов не случилось.
Защита эффективна? Или просто повезло? У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно.
А как проверить? Устроить учебную тревогу?Проведение сертификации по стандарту ГОСТ-27001:2005 - это хороший способ выяснить, работает ли твоя "безопасность", не напрасно ли потрачены деньги.