Открыть список
Как стать автором
Обновить

Комментарии 15

мегаполезно. 10 лет назад готовил компанию к сертификации на 9001 — погрузился и даже испытал извращенное удовольствие от регламентации.
Купить официальный текст (да, до сих пор не понимаю почему официальные стандарты надо покупать)

Лайфхак — значительное количество международных стандартов переведены и приняты как ГОСТы РФ. В этом качестве их можно скачать совершенно бесплатно и вроде даже легально.

Интересно, а такой "лайфхак" каким-то образом поможет при прохождении аудита? Кажется, "покупка" стандарта является неотъемлемой частью того, что компания все делает по определенной схеме.
Для кого этот лайфхак?

Интересно, а такой «лайфхак» каким-то образом поможет при прохождении аудита?
Во-первых, экономит 100 франков. Во-вторых, у пользователя будет официальный русский текст.

Кажется, «покупка» стандарта является неотъемлемой частью того, что компания все делает по определенной схеме.
на сколько я знаю, квитанцию во время аудита не проверяют

Для кого этот лайфхак?
Для неопределённого круга лиц

"насколько я знаю, квитанцию во время аудита не проверяют"
Да, это очень "по-российски".
Там еще был упомянут внешний консультант по ИБ и законодательству. Ему бы тоже понравился данный финт :)

В желании сэкономить 100 франков ничего специфически русского нету. Это нормальное желание хорошо известное людям со всей планеты. А в смысле умения, есть много мест, где русским фору дадут.

Ему бы тоже понравился данный финт
Ему-то какое дело? Он на почасовой ставке, источник текста стандарта его мало колышет

Не ради спора, но даже для меня это смешно. Экономить на покупке стандарта, но платить кучу денег за внешнего консультанта и за всю эту бюрократию.
Ну, то есть, я вообще не вижу смысла искать аналогичные РФ ГОСТы. Написанные на нашем псевдоИТязыке, нужным для откатов:
"критически важная система информационной инфраструктуры-ключевая система информационной инфраструктуры; КСИИ: Информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление или информационное обеспечение критическим объектом"

Да, смешно. Кто ж спорит.

На язык зря ругаетесь. Нормальный бюрократический язык. Сообщество не озаботилось более подходящей терминологией, так что имеем, что имеем
НЛО прилетело и опубликовало эту надпись здесь

Статья написана в весьмя скептическом ключе касаемо аудитов. Я разделяю это мнение. В требованиях есть разумное зерно. Однако, конкретизация приводит к абсурду. Кажется, что требования изначально были придуманы, чтобы компания не оказалась полной шарагой. Однако в современных реалиях выполнение требований дословно приводит к совершенно немотивированным расходам. Компания не становится прозрачней, эксплуатация дорожает, качество не растёт. Получается такая ачивка ради ачивки для рядовых сотрудников, которые считают требования избыточными или вредными.

На примере политики по паролям – можно либо прописать письменно что пароль должен быть минимум 8 символов, либо написать что пароль должен быть «сложным» и отражать требованиям информационных систем.

Не могу понять, это неточный перевод с маленького европейского языка или так изначально по-русски написано? Тут какая-то каша. «Пароль должен быть сложным» — политика, а насколько сложным, с подробностями типа 8+ символов, разные регистры, спецсимволы и т.п. — стандарт. Плюс гайдлайны есть, как уменьшить страдания при выборе пароля или фразы.
насколько сложным — это не прописано в стандарте, это либо в дополнительных гайдлайнах, как вы сказали, либо выбор самой компании. Но стандарт просто диктует чтобы был «сложным»
Я не про стандарт 27001, а про внутреннюю документацию и ее иерархию.
В политике безопасности пишут «пароль должен быть сложным», эту политику подкрепляет стандарт, где как раз написано насколько сложный.
Создайте общую папку для документации по ISO

Вообще-то существует целый класс софта, предназначенного для подготовки к прохождению сертификации, сбора всей необходимой документации, разработке правильных процессов. Там, если для какого-то ISO необходимы документы X, Y и Z — софт объяснит, что вам они необходимы и не даст податься на аудит без них. Полезная штука.

Беда с аудитом в другом, аудит часто живёт лишь в «бумажном» измерении и не доходит до физического. Аудитор спросит, чем у вас регламентируется то-то — и ожидает увидеть документ об этом. Нет документа — нет сертификации. А вот если документ есть, но на самом деле в компании он не выполняется — это уже аудитора не волнует. Он не будет стоять над душой каждого сотрудника и ждать, когда тот окажется в ситуации, описанной документом, чтобы проверить его действия. В итоге мы получаем ситуацию, когда IS0 27001 у компании есть, но на практике это означает лишь то, что в компании есть несколько людей, которые знают, что это и умеют готовить для него документы. Основная часть сотрудников может вообще не знать, какие там ISO есть у компании и что они в ежедневной работе должны делать, чтобы им соответствовать.
я бы как безопасник сначала спросил «у компании в которой вы храните свои данные есть сертификат ISO27001» :)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Информация

Дата основания
Местоположение
Россия
Сайт
ruvds.com
Численность
11–30 человек
Дата регистрации
Представитель
ruvds

Блог на Хабре