Ага, понял кто скрывается под ником Ригель.
Цитата |
---|
Ригель пишет: Самая классическая ошибка! Во-первых, это стандарт на систему МЕНЕДЖМЕНТА информационной безопасности. Никогда не замечали этого слова? Он об управленческой деятельности (или "организационных мерах", по старому говоря), наведении порядка в Ваших процессах по управлению ИБ. Во-вторых, деньги просто некуда потратить. О том, что закупка тех или иных технических средств из стандарта не следует, даже распространяться не буду (см. предыдущий абзац), |
Небольшое уточнение. Если мы говорим о 27001, то он специфицирует СУИБ, а 17799 содержит высооуровневое описание организационных и технических механизмов контроля.
Какие из них должны применяться определяется оценкой рисков.
При внедрении стандарта в реальной организации, неизбежно придется реализовывать план по внедрению (или совершенствованию), в том числе, и технических механизмов защиты. Так, например, если оценка рисков, указывает вам на необходимость использования смарт-карт или альтернативных методов строгой аутентификации, то, чтобы соответствовать стандарту, вам придется это реализовывать. На эту тему можно привести еще пару сотен примеров.
Цитата |
---|
а консалтинг физически негде купить. |
Ну, уж купить то всегда есть где
Цитата |
---|
Те, кто продает в РФ услуги по подготовке к сертификации, Вам практически ничем не помогут, а те, кто мог бы помочь, не торгуют консалтингом. Это сродни тому, как брать уроки живописи (плавания, фигурного катания, китайского языка и т.п.) у того, кто сам кистью не владеет, а "имеет представление, как наверно это должно делаться". |
Ну уже это слишком категорично заявлено. Может быть вам они ничем и не помогут. Кому-то надо внедрить СУИБ, кому-то просто получить бумажку, кто-то располагает собственными квалифицированными кадрами, а большинство компаний не располагают.
Если мы говорим не о помощи в получении бумажки, а о реальном внедрении (или совершенствовании) СУИБ, то сделать это силами внешних консультантов нельзя по определению (и в этом я с вами согласен), т.к. использование внешнего консалтинга, согласно тому же стандарту, является всего лишь одним из механизмов контроля. Другими словами, конечно нельзя просто заплатить деньги и получить СУИБ "под ключ". Это один из рекламных слоганов, придуманных маркетологами для одурачивания клиентов.
Однако многим компаниям требуется помощь в обучении персонала, оценке рисков, планировании, разработке документов и т.д. или все это вместе. Делать все это своими силами не всегда возможно и экономически оправданно. Конечно, если вы располагаете достаточной квалификацией, опытом, ресурсами, и ваше собственное время стоит значительно дешевле времени консультантов, то все можно делать своими руками. Это касается не только внедрения СУИБ, но решения любых других вопросов. Однако в подавляющем большинстве случаев наблюдается противоположная ситуация.
Цитата |
---|
Спросите у любой фирмы, которая пообещает его Вам внедрить, сертифицирована ли она сама по 27001 и 9001 (это очень важно, т.к. 27001 плохо понятен без своего идеологического родителя) и опционально по 14001 или 18001 (чтобы уж до конца удостовериться, что это корпоративная религия, которая их самих пронизывает до мозга костей) - уверяю, что Ваши время и деньги останутся целыми. |
Логично. Поэтому, скажем, BSI требует от своих партнеров, чтобы они были сертифицированы.
А если это независимый консультант, обладающий квалификацией и опытом внедрения СУИБ, от него вы тоже будете требовать сертификации по всем перечисленным стандартам?
Главное, чтобы люди, которых вы нанимаете, обладали досточной квалификацией и опытом выполнения требуемых работ и стоили вам дешевле вашего собственного времени.
"Сделаем все сами" - это инженерный подход, рассуждение технаря, а не менеджера. Стандарты обобщают практику управления (в данном случае в области ИБ). Для того, что создать систему управления вы должны заставить работать на достижение желаемого результата консультантов, подрядчиков, партнеров, аудиторов, аутсорсеров, собственный персонал, поставщиков и т.д. Насколько эффективно и экономически обоснованно вы используете эти ресурсы и определяет вашу состоятельность как менеджера. Ведь мы говорим о МЕНЕДЖМЕНТЕ?