Несколько месяцев назад компания LETA, в которой в том числе работает ваш покорный слуга, прошла сертификациюсистемы управления ИБ в соответствии со стандартом ISO27001.
Для нас конечно же это не стало чем-то экстраординарным, т.к. подобные услуги мы оказываем давно. Тем не менее, как человек, участвоваший в этом проекте, хочу поделится некоторыми наблюдениями:
- сертификация - вполне выполнимая цель, если все делать как надо, но если хотите добиться результата относительно быстро то лучше все же обратиться к тем, кто уже имеет опыт прохождения этой процедуры;
- если в компании отсутствует система менеджмента ИБ, то на ее создание уйдет примерно 1 год, если в том или ином виде элементы управления присутствуют, то привести все в порядок можно и за полгода;
- как бы не ругали сертификацию, но ее наличие является дополнительным фактором, дисциплинирующим практику ИБ в компании, т.к. наличие внешнего проверяющего, который с регулярностью будет оценивать состояние процессов управления ИБ, держит в тонусе всех ответственных лиц;
Кстати, в свете последних веяний по признанию стандартов по обеспечению ИБ в контексте требований 152-ФЗ, вполне реально внедрять СУИБ в т.ч. для защиты ПДн. А так как сандарт ISO 27001 еще и принят у нас в качестве ГОСТ, то тут вообще не придерешься.
