Новость

6 августа, 2018

Без революции в мышлении СТО БР ИББС-1.4-2018 не заработает

Прочитал статью "Оцени киберриски при аутсорсинге, прими оптимальное решение" Андрея Выборнова, потом стандарт, потом еще раз статью. И сам стандарт, и статья о нем оставляют ощущение очень неоднозначное. Пока читаешь – все вроде правильно, все слова складываются в толковые рассуждения. Но в тот момент, когда начинаешь мысленно выстраивать всю эту конструкцию применительно к Банку, понимаешь, что нам предлагают оценить степень разрушения айсберга только по его видимой части. Чтобы эта конструкция заработала, необходима совсем нелокальная революция в мышлении, способах взаимоотношений участников и прочее, прочее, прочее…

Простая аналогия. Сама по себе проблема подтверждения соответствия некоторым требованиям решается давно и успешно в рамках, например, системы менеджмента качества (попробуйте в стандартах серии ГОСТ 9000 заменить слова "менеджмент качества" на "менеджмент информационной безопасности" - очень интересный эффект!). Там все на своих местах. Вот сюда система оценки рисков аутсорсинга легла бы практически идеально.

НО.

Чтобы все заработало, необходимо всего ничего:
 1. Создание системы аккредитации (?) компаний-аудиторов ИБ, мнение которых будет приниматься как объективная оценка третьей стороной, Реестр доверенных (?) компаний -?

2. Создание системы подготовки и аттестации аудиторов-специалистов, которые будут проводить эти самые аудиты, ведение реестра аудиторов, контроль своевременной их переподготовки и переаттестации-?

3. Создание системы внешней оценки соответствия требованиям для этих самых аутсорсеров и ведение реестра "доверенных" поставщиков услуг.

Идея стандарта, безусловно, правильная и очень своевременная. Но этого совершенно недостаточно. Я просто набросал несколько мыслей-вопросов, без ответа на которые все замечательные начинания останутся благими намерениями сделать лучше, а вот что получится?

Как всегда?

 

 

 

Автор: Василий Окулесский, кандидат технических наук, Центр исследования безопасности ИТ