Интеграция
Цифровая трансформация в нестабильное время — пять полезных лайфхаков
Бизнес
Российский бизнес активно движется по пути цифровой трансформации
ИТ-бизнес
Обзор МФУ Sharp MX-2651EU: обновленная линейка

CNews Аналитика Конференции Маркет Техника ТВ

Спецпроекты

Безопасность Госрегулирование Стратегия безопасности
|

Может ли сертификация гарантировать безопасность?

В последнее время у специалистов появилось много вопросов о международном стандарте ISO 27001. Глядя на ситуацию с ISO 9000 в России, многие делают вывод, что сертификация "не работает" и якобы ISO 27001 не нужен. Хотелось бы внести ясность и разобраться с этим вопросом.

страницы:   предыдущая   |   1    |   2    |   3    |   4  

Николай Федотов: Безопасность - предмет темный

Своим экспертным мнением с CNews поделился Николай Федотов, главный аналитик InfoWatch.

Не вполне ясно, чем подтверждается мнение, что сертификация "не работает". В отношении ISO-9001 об этом можно судить, например, по увеличению сбыта. А как померить улучшение информационной безопасности? Ее влияние на финансовые показатели компании весьма опосредовано. Тем более что безопасность, как известно, не приносит прибыль, а избавляет от убытков, да и то не всегда.

На наш взгляд, сертификация по 27001 приносит выгоды не столько самой сертифицированной компании, сколько ее менеджменту. В силу упомянутой особенности ИБ, трудно оценить эффективность вложений в нее. Скажем, потратила компания кучу денег на организацию защиты, на соответствующее оборудование и специалистов. Никаких значимых инцидентов не случилось. Защита эффективна? Или просто повезло? У руководства компании всегда таится мысль: не зря ли мы тратим деньги на нашу защиту? Может быть, она не работает? Может быть, мои безопасники просто вешают мне лапшу на уши, выпрашивая деньги на свои высокотехнологичные игрушки, на свои мужские игры? Когда что-то неприятное случится, и обнаружится, что наша защита не сработала, будет уже поздно. А как проверить? Устроить учебную тревогу?

Проведение сертификации по стандарту ГОСТ-27001:2005 - это хороший способ выяснить, работает ли твоя "безопасность", не напрасно ли потрачены деньги. Мне кажется, что приобретение сертификата в качестве конкурентного преимущества - это вторичная задача для наших крупных компаний. Первичная - убедиться, что имеющаяся система защиты построена "по науке" и сработает против распространенных угроз. Не зря в списке прошедших такую сертификацию мы видим только крупные предприятия, с многоуровневой бюрократической системой управления. Они больше других должны опасаться нерационального расходования средств.

страницы:   предыдущая   |   1    |   2    |   3    |   4  

Короткая ссылка

Другие материалы рубрики

Вячеслав Золотарев, Университет Решетнева: Восприятие безопасности как целостной структуры станет «культурным кодом» ИБ-специалиста будущего

Две уязвимости нулевого дня в Cisco полгода используются для атак на госучреждения

Какое коммуникационное решение для бизнеса выбрать — On-Premise или SaaS

Таинственные хакеры взломали Dropbox, получив доступ к именам пользователей, паролям, телефонам и e-mail

Как автоматизировать учет персональных данных и избежать штрафов за их утечку

Шесть ботнетов паразитируют на одной старой уязвимости

МАРКЕТ.CNEWS

ИТ-безопасность

Подобрать решения для повышения ИТ-безопасности компании

От 684 руб./месяц

DBaaS

Выбрать тариф на облачную базу данных

От 0.80 руб./месяц

IP-телефония

Подобрать тариф на IP-телефонию и виртуальную АТС

От 0.50 руб./месяц

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

Техника

Лучшие умные весы 2024 года: хиты продаж

Роботы-питомцы, которых можно купить в России: выбор ZOOM

На дачу и обратно: лучшие российские алкотестеры

Показать еще