» Является ли ISO 27001 техническим стандартом?

Является ли ISO 27001 "техническим" стандартом?
Публикация: Славчо Ненков

Я встречаю в своей практике, что подавляющее большинство моих клиентов, приступающие к осуществлению проекта по разработке и внедрению системы управления информационной безопасностью, уверены, что он является чисто техническим ИТ-проектом.

Многие люди, которые не участвовали в подобных реализациях, но слышали о стандартe ISO 27001, также убеждены, что это чисто технический стандарт. Так говорят и многие специалисты из области ИТ и коммуникаций, которые слышали о стандарте, но никогда его не читали. А, между прочим, данный стандарт, классифицируется в группе стандартов ISO -Информационные технологии. Кроме того большая часть средств информационной безопасности являются техническими: программное и аппаратное обеспечение под управлением хорошо обученных ИТ специалистов.

Означает ли это, что стандарт технический?

ISO 27001 – не технический, а прежде всего организационный стандарт, также как и стандарты: ISO 9001, ISO 14001, OHSAS 18001.

Термины «информация» и «информационная безопасность» не должны вводить нас в заблуждение. Информация может существовать в различных формах: бумажной, электронной, микрофильмов, разговорной и т.п. И в каждой из этих форм ее существования, система управления информационной безопасностью (СУИБ) должна обеспечить ее безопасность (конфиденциальность, целостность и в тоже время доступность). Как ни странно это звучит, СУИБ вполне возможно строить, сертифицировать и эксплуатировать организации без наличия компьютеров.

Основные задачи в строительстве СУИБ являются в определение: области применения системы, политики информационной безопасности, оценки рисков. Это, прежде всего стратегические и организационные задачи.

А что насчет обязательных процедур системы? Процедуры для управления документами, внутренних аудитов, корректирующих и предупреждающих действий практически идентичны тем, что в ISO 9001, с небольшими дополнениями.

А измерение эффективности? Оборудование и программное обеспечение являются лишь средством для достижения определенных целей.

Знаете ли вы, откуда берутся крупнейшие потенциальные угрозы для системы?

Хакеры не являются самыми опасными для вашей системы, ваш персонал, вот кто самая крупная потенциальная угроза, из-за  некомпетентных или злонамеренных действий или бездействие сотрудников. И основные средства управления в этом - правовые и организационные действия.

А как же обстоит дело с такими важными вопросами как: предоставление ресурсов для системы со стороны руководства или анализ системы? Являются ли они техническими, а не организационными?

Да, конечно, для обеспечения информационной безопасности системы, в области управления которой находится крупная и сложная информационная система обрабатывающая и хранящая ценную информацию, являются жизненно важными квалифицированные ИТ-специалисты. Но в любом случае, стандарт ISO 27001 требует, прежде всего, усилия в разработке и реализации организационных мер, даже если они из области ИТ.

В поддержку своих слов я расскажу вам о случае неудачной реализации СУИБ.

Большая компьютерная компания в Болгарии, начиная реализацию проекта СУИБ, наняла консультантом в реализации системы ведущего ITIL специалиста. Проект длился около 8 месяцев, и компания инвестировала более € 80 000 в передовые ИТ-технологии, а также потратила немало денег для оплаты работ консультанта. Во время сертификационного аудита были выявлены 25 несоответствий со стороны ведущего консультанта (4 основные и 21 вторичных). И знаете, какие корректирующие действия были предприняты после 4 месяцев работы – организационные!

Надеюсь, что поднятые в статье вопросы вызовут различные комментарии и мнения на эту тему.

Связаться с нами

  • 1111 София ул. Гео Милев 47, бл.2
  • office@mscservices.eu
  • +359 2 4422 637
  • +359 889 622 637