Контакты
Подписка
МЕНЮ
Контакты
Подписка

Мнение практика. Комментарий к статье В.Г. Грибунина

Мнение практика. Комментарий к статье В.Г. Грибунина

В рубрику "Концепции безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Мнение практика

Комментарий к статье В.Г. Грибунина

Роман Просянников, ведущий специалист компании «АНДЭК»
Роман Просянников,
ведущий специалист компании «АНДЭК»

В продолжение разговора о разработке и реализации политики безопасности предприятия хочется особо остановиться на двух моментах.

Первый касается вопроса объективности аудита и особенностей построения или модернизации системы обеспечения информационной безопасности силами сторонней компании.

Как справедливо отмечено в статье, существуют два независимых этапа при построении/модернизации системы:

  • аудит состояния информационной безопасности на данный момент;
  • проектирование или планирование модернизации подобной системы.

Аудит в своих результатах содержит рекомендации по проектированию/модернизации. Поэтому, если оба этапа выполняет одна и та же компания, у нее возникает соблазн подготовить такое заключение по модернизации, которое будет «удобно» ей на стадии проектирования. Подобный подход способен негативно сказаться на объективности аудита.

Решений может быть несколько. В частности, многие серьезные клиенты, которые прибегают к услугам аудита и проектирования, выбирают для выполнения этих работ разных исполнителей.

Второй аспект, на котором хотелось бы остановиться, касается стандарта ISO 17799.

Безусловно, соответствие системы безопасности организации такому стандарту, как ISO 17799, свидетельствует о серьезном отношении к вопросам защиты информации. Однако в подавляющем большинстве случаев основной целью сертификации или аудита по данному стандарту служит не проверка «себя», а демонстрация другим того, что «у нас все в порядке».

В силу того, что стандарт ISO 17799 относится к числу международных норм, на него ориентируются достаточно «продвинутые» в вопросах информационной безопасности компании. С другой стороны, ISO 17799 является довольно простым стандартом. Как правило, организации, обращающие свое внимание на проверку по данному стандарту, в большинстве своем имеют систему информационной безопасности, которая соответствует ему как минимум на 80-90%.

Следовательно, если компания сертифицирована или прошла аудит по ISO 17799, это еще не значит, что защита информации находится на том уровне, который требуется самой компании.

Одним из альтернативных вариантов представляется создание в организации собственной системы управления рисками.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2005
Посещений: 12225

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Роман Просянников

Роман Просянников

Ведущий специалист компании «АНДЭК»

Всего статей:  1

В рубрику "Концепции безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций