Search results for category: СУИБ

В национальных стандартах РФ, в обиходе и во всех русскоязычных источниках уже прочно закрепились неправильные переводы понятий Information Security и Information Security Management System (ISMS). К сожалению, даже в словарях (например, lingvo.ru) эти понятия неправильно переводятся. Да простит меня читатель за такой азбучный пост, но ошибка рано или поздно все же должна быть исправлена.

"Умом Россию не понять, аршином общим не измерить", - сказал поэт Тютчев в 19 веке, а в 21 веке нынешний Президент страны Путин процитировал эти строчки французскому экс-президенту Шираку. Россия, мягко говоря, не совсем обычная страна, с самой большой территорией и самой низкой плотностью населения, культура и идеология - симбиоз противоположных друг другу восточных и западных взглядов на жизнь, и в мировой истории Россия занимает свое особенное место. Не удивительно, что российский бизнес информационной безопасности также весьма самобытен. Не берусь утверждать, что излагаемых ниже "инновационных" подходов не применяется нигде в мире, но в совокупности они представляют собой именно те российские феномены, которые не подвластны разумению как восточников, так и западников.

Сегодня посетил организованное Британским Институтом Стандартов мероприятие, посвященное официальному открытию программы Ассоциированных Консультантов Associate Consultancy Programme (ACP) в СНГ. Встреча проходила в Courtyard отеле в Москве, что на Вознесенском переулке. Ввиду особенностей моего характера, мне сложно более 10 минут слушать любого докладчика (без кальяна и без пива). Чтобы как-то сконцентрироваться на происходящем, я достал ежедневник и стал составлять конспект с выступлений...

Одна из наибольших трудностей, связанных с внедрением международного стандарта ISO 27001 и всех прочих родственных ему и разработанных британцами международных стандартов на системы менеджмента, заключается в необходимости скрупулезного документирования СУИБ. Согласно п. 4.3.1 g) в организации должны быть "документированные процедуры, которые необходимы организации для обеспечения эффективного планирования, выполнения и контроля процессов информационной безопасности и описывающие как измерять эффективность механизмов контроля".