- Давно уже пора провести черту между эротикой и порнографией!
- Согласен. Вот вы, где проведете черту?
- Здесь.
- А я - здесь. Видите, сколько людей, - столько мнений.
Во истину разнообразны представления специалистов по ИБ о требованиях стандарта ISO/IEC 27001:2005. А порой даже непредсказуемы. Я в последнее время часто общаюсь на тему СУИБ, совместимых с этим стандартом и, признаться, удивлен таким разнобоем во мнениях.
Особый интерес представляет мироощущение коллег в понимании, а где же, собственно, в стандарте требования. Тут диапазон версий просто ошеломляющий. От утверждения, что требований там никаких нет, одни сплошные рекомендации, до гипотезы, что каждая буква стандарта является обязательной к выполнению, включая все без исключения контроли из широко известного "Приложения А". Слыхал даже теорию о том, что понятие о требованиях у каждого собственные, и это нужно учитывать при выборе сертификационного аудитора.
Истина состоит в том, что требования стандарта сосредоточены в его частях 4, 5, 6, 7 и 8, и могут быть сформулированы одним предложением: Постройте СУИБ согласно модели Plan-Do-Check-Act , основываясь на результатах оценки рисков, и при помощи, где это применимо контролей из Приложения А, а где нет - ищите другие или изобретайте собственные.