11.09.2007

О западных стандартах и методиках

image

Мы восхищенно вникаем в западные методики, восхищенно внимаем западным «оракулам», усваиваем западный сленг и иностранные словечки (один только «файрвол» чего стоит), стремимся за западными сертификатами, не задумываясь над простым вопросом: «А оно нам надо?»

В последнее время все чаще и чаще слышим восторженные слова и дифирамбы в адрес ISO 27001, ISO 17799, ISO 15408 и т.д. Мы восхищенно вникаем в западные методики, восхищенно внимаем западным «оракулам», усваиваем западный сленг и иностранные словечки (один только «файрвол» чего стоит), стремимся за западными сертификатами, не задумываясь над простым вопросом: «А оно нам надо?»

 Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК. У Запада действительно стоит многому поучиться и многое перенять. Но с умом, адаптируя к нашему менталитету, культуре, уровню зрелости. А мы берем все и, не меняя, пытаемся прививать. Но так нельзя. Обратимся к безопасности. Да, США на несколько корпусов ушли вперед и все, что прогрессивного есть в информационной безопасности (исключая может быть криптографию), взято именно от них. Но взято как-то неумно и неумело. Вспомним наши РД, появившиеся в далеком 1992 году и ставшие Библией для большинства российских специалистов по защите информации. А ведь эти РД были калькой с более ранней «Оранжевой книги», входящей в состав «Радужной серии». Однако, взяв за основу неплохой документ, наши пути разделились. В США «Радужная серия» разрослась до нескольких десятков книг по различным аспектам информационной безопасности, а потом ей на смену и вовсе пришли «Общие критерии», которые сейчас уже известны в своей третьей (пусть и нефинальной) редакции. У нас же РД (их меньше 10-ти) в неизменном виде известны до сих пор. Дальше больше.
 
Помимо классических РД мы стали применять и «Общие критерии» (ГОСТ Р ИСО/МЭК 15408), хотя в список стран, признающих выданные в других государствах сертификаты, мы так и не вошли. Более того. Несмотря на аутентичный перевод, наша версия «Общих критериев» официально не признана другими странами. Мы все ищем, что же плохого в «Общих критериях». Именно это прозвучало на одной из конференции из уст представителя Совета Безопасности РФ. С этим стандартом вообще ситуация непонятная. По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Четкого ответа от ФСТЭК, по какому из двух направлений – РД или «Общие критерии» - нам двигаться вперед, до сих пор нет. Вот и вынуждены производители сертифицировать свои продукты дважды – по обоим документам – по старому, но всем известному, и по новому, но не всем понятному.

 
А теперь обратимся к международным стандартам ISO 27001 и 17799. Мы их приняли в России достаточно «быстро» – в 2007 году. Только вот принятые версии этих стандартов давно уже устарели. В России принята версия 2000 года, а весь мир работает по версии 2005 года. Опять хотели как лучше, а получилось…

 Нельзя забывать, что многие западные методики появились в нужное время и в нужном месте. И если их превозносят в мире, это не значит, что они могут быть легко применимы в России. У нас немного иная история отрасли безопасности, иные специалисты, иные регуляторы, иные законы, иной уровень зрелости. Почти все у нас, за исключением продуктов, иное. Мы же, не оглядываясь на наш опыт, стараемся внедрять западные «best practices» (вот еще одно часто используемое западное словосочетание). И очень редко, когда успешно. А все потому, что мы не готовы к ним. Не зря все эксперты по ITIL признают, что ITIL – это лучшие ЗАПАДНЫЕ практики и их нельзя безоговорочно применять у нас – эффект может быть совершенно противоположным. Да и в предисловии к самому ITIL прямо написано, что эти рекомендации – не догма. Мы же всегда уходим в крайность и начинаем их навязывать… и на законодательном уровне тоже.

 Возьмем, к примеру, большинство стандартов управления процессом ИБ. В самом их начале прямо сказано, что эффективный результат будет достигнут только тогда, когда безопасность получит поддержку на уровне руководства компании. А многие ли могут похвастаться этом в своих организациях? Но это почему-то не мешает нам внедрять ISO 27001 и другие стандарты.

 Интегрироваться в западный мир надо. Но обдуманно. Главное не потерять себя. Брать полезное и отбрасывать наносное, ненужное и вредное. Надо научиться уважать себя и жить своим умом. Не все, конечно, надо начинать с нуля. Надо просто воспользоваться теми граблями, на которые уже наступил Запад и, вовремя их обойдя, сделать шаг вперед. Самостоятельно.
 
Об авторе:

Алексей Лукацкий, http://lukatsky.blogspot.com

 

 


или введите имя

CAPTCHA
Страницы: 1  2  3  4  
11-09-2007 11:39:40
Бред полный. фсе это мы уже слышали - "Мы пойдем другим путем"!!! Научитесь сначала успевать за цивилизованным миром, а потом выдумывайте свое.
0 |
11-09-2007 11:40:18
Автор пишет:По нему уже сертифицируют, а вот что делать со «старыми» РД непонятно. Сертифицируют средства защиты. Интересно, а для аттестации пользуются какими сертификатами по старым РД или по ОК?
0 |
11-09-2007 12:54:46
Очень верное наблюдение. Самое неприятное, что подобное положение дел иллюстрирует отсутствие четкой позиции в формировании направления развития. Interloper-у. Лучше нефтью торговать,желательно, в лаптях.
0 |
11-09-2007 13:29:52
>Мы стали часто смотреть на Запад. Будто бы там все хорошо, все правильно, все ОК Хорошо там, где нас нет
0 |
1
11-09-2007 15:54:39
Мы стали часто смотреть на Запад.Глобализация наступает/наступила? В России принята версия 2000 года, а весь мир работает по версии 2005 года.Это какой такой весь мир? Америка что-ли? Дык они еще не весь мир... Интегрироваться в западный мир надо.Кому надо? И надо ли? Главное не потерять себя.Главное - быть самими собой, не так ли? В целом, с автором согласен.
0 |
Страницы: 1  2  3  4