Комментарии 15
Купить официальный текст (да, до сих пор не понимаю почему официальные стандарты надо покупать)
Лайфхак — значительное количество международных стандартов переведены и приняты как ГОСТы РФ. В этом качестве их можно скачать совершенно бесплатно и вроде даже легально.
Интересно, а такой "лайфхак" каким-то образом поможет при прохождении аудита? Кажется, "покупка" стандарта является неотъемлемой частью того, что компания все делает по определенной схеме.
Для кого этот лайфхак?
Интересно, а такой «лайфхак» каким-то образом поможет при прохождении аудита?Во-первых, экономит 100 франков. Во-вторых, у пользователя будет официальный русский текст.
Кажется, «покупка» стандарта является неотъемлемой частью того, что компания все делает по определенной схеме.на сколько я знаю, квитанцию во время аудита не проверяют
Для кого этот лайфхак?Для неопределённого круга лиц
"насколько я знаю, квитанцию во время аудита не проверяют"
Да, это очень "по-российски".
Там еще был упомянут внешний консультант по ИБ и законодательству. Ему бы тоже понравился данный финт :)
Ему бы тоже понравился данный финтЕму-то какое дело? Он на почасовой ставке, источник текста стандарта его мало колышет
Не ради спора, но даже для меня это смешно. Экономить на покупке стандарта, но платить кучу денег за внешнего консультанта и за всю эту бюрократию.
Ну, то есть, я вообще не вижу смысла искать аналогичные РФ ГОСТы. Написанные на нашем псевдоИТязыке, нужным для откатов:
"критически важная система информационной инфраструктуры-ключевая система информационной инфраструктуры; КСИИ: Информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом"
На язык зря ругаетесь. Нормальный бюрократический язык. Сообщество не озаботилось более подходящей терминологией, так что имеем, что имеем
Статья написана в весьмя скептическом ключе касаемо аудитов. Я разделяю это мнение. В требованиях есть разумное зерно. Однако, конкретизация приводит к абсурду. Кажется, что требования изначально были придуманы, чтобы компания не оказалась полной шарагой. Однако в современных реалиях выполнение требований дословно приводит к совершенно немотивированным расходам. Компания не становится прозрачней, эксплуатация дорожает, качество не растёт. Получается такая ачивка ради ачивки для рядовых сотрудников, которые считают требования избыточными или вредными.
На примере политики по паролям – можно либо прописать письменно что пароль должен быть минимум 8 символов, либо написать что пароль должен быть «сложным» и отражать требованиям информационных систем.
Не могу понять, это неточный перевод с маленького европейского языка или так изначально по-русски написано? Тут какая-то каша. «Пароль должен быть сложным» — политика, а насколько сложным, с подробностями типа 8+ символов, разные регистры, спецсимволы и т.п. — стандарт. Плюс гайдлайны есть, как уменьшить страдания при выборе пароля или фразы.
В политике безопасности пишут «пароль должен быть сложным», эту политику подкрепляет стандарт, где как раз написано насколько сложный.
Создайте общую папку для документации по ISO
Вообще-то существует целый класс софта, предназначенного для подготовки к прохождению сертификации, сбора всей необходимой документации, разработке правильных процессов. Там, если для какого-то ISO необходимы документы X, Y и Z — софт объяснит, что вам они необходимы и не даст податься на аудит без них. Полезная штука.
Беда с аудитом в другом, аудит часто живёт лишь в «бумажном» измерении и не доходит до физического. Аудитор спросит, чем у вас регламентируется то-то — и ожидает увидеть документ об этом. Нет документа — нет сертификации. А вот если документ есть, но на самом деле в компании он не выполняется — это уже аудитора не волнует. Он не будет стоять над душой каждого сотрудника и ждать, когда тот окажется в ситуации, описанной документом, чтобы проверить его действия. В итоге мы получаем ситуацию, когда IS0 27001 у компании есть, но на практике это означает лишь то, что в компании есть несколько людей, которые знают, что это и умеют готовить для него документы. Основная часть сотрудников может вообще не знать, какие там ISO есть у компании и что они в ежедневной работе должны делать, чтобы им соответствовать.
Сертификация ISO27001