Лежит у меня "Концепция аудита информационной безопасности систем информационных технологий и организаций" довольно давно и все как-то руки до нее не доходили. И вот эврика. Решил посмотреть не перешел ли документ в рабочий или возможно в редакцию 1, 2...... Зашел на сайт ФСТЭК России и не нашел его. Потом в новостях увидел, что его удалили с сайта 10 марта 2010г. и расстроился. Но желание прочитать его осталось.
Что я о нем знаю? Разработчик - ООО НПФ "Кристалл"; Дата создания 14.10.2004г. Документ не слишком свежий и поэтому есть как утопические мысли, так и довольно позитивные.
К разделу утопических я бы отнес:
1. Аккредитацию и лицензирование деятельности по аудиту ИБ, имея опыт по работе с аттестацией и лицензированием ТЗКИ :).
2. Сертификацию инструментальных средств поддержки аудита ИБ. Смысл сертифицировать такие средства если по своей сути они представляют экспертную систему с вариантами ответов на вопрос да, нет, "не уверен".
3. Мысль об отсутствие "национальных регуляторов", которое может нанести вред. Не судите строго, но бытует мнение, что на данный момент как раз беды от регуляторов и идут :).
4. Формирование критериев аудита на основании СТР-К и РД. Выходя на новый уровень, лучше сразу переходить к лучшим практикам, а не тянуть за собой обоз с прошлым.
5. ФСТЭК России должны разработать нормативно методическую документацию процедурного плана по аудиту ИБ. С каким бы уважением к представителям ФСТЭК я бы не относился, но на данном этапе развития такая задача им не по силам. Быстрее сформируют такие подходы отраслевые регуляторы, например Банк России, НПФР, Здравооохранение и т.д...
То, что смог увидеть при беглом просмотре. Далее сделаю более детальный обзор.
Комментариев нет:
Отправить комментарий