О стандарте ИСО/МЭК 27001
Владимир Шпер, журнал
"Методы Менеджмента Качества", Москва,
март 2008, размещено у нас 26.05.08.
После предыдущего выпуска "Вестей",
где среди прочих данных из очередного
обзора ИСО, было отмечено, что впервые
появилась информация по числу сертификатов
на стандарт ИСО/МЭК 27001:2005, мне показалось
вполне естественным посмотреть, что есть
про этот стандарт в русскоязычной части
Интернета. Поиск в "Google"
по ключевым словам "ИСО 27001" дал около
142000 ссылок. Как обычно я привожу самые
интересные из нескольких первых десятков.
На сайте группы независимых
компаний "Интерсертифика" есть
страничка, посвященная данному стандарту - www.icgrp.ru/docs/list/standards/
iso
27001/ . Из неё выясняется, что этот стандарт
("Информационные
технологии - Методы обеспечения
безопасности - Системы управления
информационной безопасностью – Требования")
разработан на основе британского стандарта
BS 7799, и представляет собой дополнение к
стандарту ИСО/МЭК 17799:2005 ("Информационные
технологии – Методы обеспечения
безопасности – Практические правила
управления информационной безопасностью"),
о котором Вести писали в 9-м выпуске за
прошлый год. Там же приведен ряд других
полезных сведений, в том числе перечень
российских предприятий, уже имеющих
сертификаты на ИСО 27001.
На часто
упоминаемом в Вестях портале "E-xecutive"
на страничке www.e-xecutive.ru/discussions/forum_60476/msg_190955_1353864/
можно посмотреть переписку по вопросам,
связанным с внедрением данного стандарта. В
частности, из ответов следует, что
формальной обязательности внедрения ИСО/МЭК
27001 для выхода на IPO – нет, а насколько повышается (если
повышается) стоимость акций компании в
результате внедрения этого стандарта –
неизвестно.
На
страничке www.cnews.ru/reviews/free/security2006/articles/bs/
сайта "CNews" можно
ознакомиться со статьей А. Астахова "BS 7799 — прародитель
международных стандартов",
в которой кратко изложена история создания стандартов,
посвященных информационной безопасности, и приведены аргументы за и против их
внедрения. На другой страничке этого же
сайта - www.cnews.ru/reviews/index.shtml?2007/01/10/230553 -
можно прочесть статью Н. Храмцовской, в
которой обстоятельно разбирается качество
перевода стандарта ИСО 17799.
Более
подробно история ИСО 27001 рассмотрена в
статье И. Медведовского "ISO 17799:
Эволюция стандарта в период 2002 - 2007",
размещенной на страничке www.dsec.ru/about/articles/
iso
17799_evolution/ .
На
страничке www.osp.ru/cio/2006/08/2681232/ размещена
статья из журнала "Директор ИС" на тему:
"Международный опыт управления
информационной безопасностью для
российских компаний"
(автор: М. Пышкин). В статье помимо общей
информации есть рекомендации по порядку
внедрения ИСО 27001 и по обучению персонала в
ходе подготовки к внедрению.
Перечень
всех стандартов семейства 27000 (9 штук), в том
числе и только ещё разрабатываемых, можно
найти тут . На той же страничке есть
информация о том, что купить переводы этих (и
ряда других) стандартов можно через
Интернет-магазин https://shop.globaltrust.ru/ - официального
дистрибьютора Британского института
стандартов.
На
страничке www.itsec.ru/articles2/pravo/o_vnedreniya_17799
размещена перепечатанная из журнала "Информационная
безопасность" статья группы экспертов по
информационной безопасности, посвященная
проблемам внедрения стандартов ИСО/МЭК 17799
и 27001. Статья, на мой взгляд, весьма
содержательная и заслуживает внимания.
На сайте
"Intelligent
Enterprise"
в январе 2008 года прошел круглый стол,
посвященный широкому кругу проблем
информационной безопасности - www.iemag.ru/articles/detail.php?ID=2856.
Среди обсуждавшихся вопросов был и вопрос о
стандарте ИСО 27001 и его роли в обеспечении
безопасности.
С хостинга
"narod.ru" со страницы https://narod.yandex.ru/100.xhtml?virmaker-dos.narod.ru/
iso
/37127.pdf можно "скачать" сам стандарт
27001 – файл в формате .pdf занял на моем компьютере 508 КБ.
На сайте CIO
на страничке www.cio-world.ru/offline/2007/57/307935/
опубликована большая статья А. Чесалова о
методологии внедрения стандарта ИСО 27001 при
построении корпоративной системы
управления информационной безопасностью.
Наконец,
на страничке www.it.techexpert.ua/consult/infoSequrity/auditonISO/Pages/Default.aspx
относительно подробно расписаны этапы
аудита на соответствие требованиям
стандарта ИСО/МЭК 27001, что может оказаться
полезным при подготовке к аудиту.
Немного новостей
Ещё в августе на сайте "Открытые
системы" появилась маленькая, но очень
важная заметка о том, что на официальном
портале Ростехрегулирования начали
публиковаться тексты ГОСТов и поправок к
ним - www.osp.ru/news/2007/0821/4315823.
Экспериментальная проверка показала, что
действительно вновь принятые стандарты или
поправки можно найти на страничке https://protect.gost.ru/
, вход на которую лежит через страницу www.gost.ru/wps/portal/pages.PublishStandards
(лицензионное соглашение). Интересно, что
точка в борьбе, которую с
Ростехрегулированием вел Институт
Развития Свободы Информации (ИРСИ) была
поставлена только 29 декабря 2007 года. В этот
день вышло Постановление Правительства, в
котором, в частности, говорится, что
Ростехрегулирование "обеспечивает
на постоянной основе опубликование текстов
национальных стандартов на официальном
сайте Федерального агентства по
техническому регулированию и метрологии в
сети интернет и свободный бесплатный
доступ к ним" -
https://biz.cnews.ru/news/line/index.shtml?2008/01/14/282925. Справедливости
ради замечу, что скопировать ГОСТы с этого
сайта нельзя, можно только знакомиться с их
содержанием.
На
этом же сайте был опубликован материал о
потенциале аутсорсинга в Восточной Европе. Учитывая
относительно низкие темпы инфляции
заработной платы и большое количество
выпускников местных университетов, этот
регион как источник профессиональных
кадров будет оставаться экономически
конкурентоспособным (по
оценкам экспертов МакКинзи), еще как минимум 15 лет. Спрос на
офшоринг в 2010 году в зависимости от разных
сценариев развития, составит от 180 до 400
тысяч рабочих мест по оценкам, приведенным в указанной публикации.
Высказаться Перейти
в библиотеку
|