Является ли ISO 27001“техническим” стандартом?

Я вижу в своей практике, что подавляющее большинство клиентов, приступающие к осуществлению проекта по разработке и внедрению системы управления информационной безопасностью, уверены что это чисто технический ИТ-проект. Многие люди, которые не участвовали в таких реализаций, но слышали о ISO 27001 стандартe, также убеждены, что это чисто технический стандарт. Так говорят и многие специалисты в области ИТ и коммуникаций, которые слышали о стандарте, но никогда не читали его. И между прочим, данный стандарт, классифицируется в группе стандартов ISO- Information technology (Информационные технологии). Кроме того, большая часть средств для управления информационной безопасностью в информационной системе - технические - программное и аппаратное обеспечение. Все эти средства управляются серьезно обученными ИТ специалистами.
А что все это значит? Означает, что стандарт технический.

Да, но это не так! ISO 27001 –не технический, а прежде всего организационный стандарт, какие еще ISO 9001, ISO 14001, OHSAS 18001.

Термины «информация» и «информационная безопасность» не следует вводить нас в заблуждение. Информация может существовать в различных формах: в письменной форме на бумаге, в электронной форме, в виде микрофильмов, обмен информацией в разговоре. И в каждой форме ее существования, система управления информационной безопасностью (СУИБ) должна обеспечить ее безопасности (конфиденциальности, целостности и доступности). Как ни странно это звучит, вполне возможно строить, сертифицировать и эксплуатировать СУИБ организации без компютеров.
Основные задачи в строительстве СУИБ являются: определение области применения системы, определение политики информационной безопасности, оценка рисков. Это, прежде всего стратегические и организационные задачи.

А что насчет обязательных процедур системы? Процедуры для управления документами, внутренных аудитов, корректирующих и предупреждающих действий практически идентичны тем, которые в ISO 9001, с небольшими дополнениями.
А измерение эффективности? Оборудование и программное обеспечение являются лишь средством для достижения определенных целей.
Знаете ли вы, откуда берутся крупнейшие потенциальные угрозиы для системы? Нет, хакеры не являются самыми опасными для вашей системы. Персонал. крупнейшие потенциальные угрозы для системы происходят от ваших сотрудников- из-за некомпетентных или злонамеренных действий или бездействий. И основные средства управления, которые применяются здесь - правовые и организационные действия.
А как же, для таких важных вопросов, таких как предоставление ресурсов для системы со стороны руководства или анализа системы? Являются ли они техническими, а не организационными мероприятиями?
Да, конечно, для обеспечения информационной безопасности системы, в области применения которой находится крупная и сложная информационная система обрабатывающая и хранящая ценную информацию, являются жизненно важными квалифицированные ИТ-специалисты. Но в любом случае, стандарт ISO 27001 требует прежде всего усилия в разработке и реализации организационных мер, даже если онш в области ИТ.

В поддержке этого заявления я расскажу вам о случае неудачной реализации СУИБ. Большая компьютерная компания в Болгарии, начиная реализацию проекта СУИБ, наняла консультантом в реализации системы ведущий ITIL специалист. Проект длился около 8 месяцев и компания инвестировала более € 80 000 в передовых ИТ-технологий для проекта, а также и немало денег для оплаты консультанта. Во время сертификационного аудита были подняты 25 несоответствий со стороны ведущего консультанта (4 основные и 21 вторичных). И угадайте какие корректируюшие меры были предложены после дополнительных 4-х месяцев со стороны компании – организационные меры !

Я надеюсь, что подняты в статье вопрос вызовет различные комментарии и мнения на эту тему.

ПП: Прошу прощения у читателей форума для любых орфографических и стилистических ошибок, так как русский язык не является моим родным языком, но я надеюсь, что эта тема является интересной.

www.mscservices.eu/ru