Сертификация: наружу или вовнутрь?
На взгляд вашего покорного слуги, сертификация по стандарту 27001 нужна не столько самой сертифицированной компании, сколько ее менеджменту. Как мы знаем, трудно оценить эффективность вложений в ИБ. Скажем, потратила компания кучу денег на организацию защиты, на соответствующее оборудование и специалистов. Никаких значимых инцидентов не случилось. Защита эффективна? Или просто повезло?
У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно. А как проверить? Устроить учебную тревогу?
Проведение сертификации по стандарту ГОСТ-27001:2005 - это хороший способ выяснить, работает ли твоя "безопасность", не напрасно ли потрачены деньги. Мне кажется, что приобретение сертификата в качестве конкурентного преимущества - это вторичная задача. Первичная же в том, чтоб убедиться, что имеющаяся система защиты построена "по науке" и сработает против распространенных угроз. Не зря в списке прошедших такую сертификацию мы видим только крупные предприятия, с многоуровневой бюрократической системой управления. Они больше других должны опасаться нерационального расходования средств.
У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно. А как проверить? Устроить учебную тревогу?
Проведение сертификации по стандарту ГОСТ-27001:2005 - это хороший способ выяснить, работает ли твоя "безопасность", не напрасно ли потрачены деньги. Мне кажется, что приобретение сертификата в качестве конкурентного преимущества - это вторичная задача. Первичная же в том, чтоб убедиться, что имеющаяся система защиты построена "по науке" и сработает против распространенных угроз. Не зря в списке прошедших такую сертификацию мы видим только крупные предприятия, с многоуровневой бюрократической системой управления. Они больше других должны опасаться нерационального расходования средств.