ISO/IEC 27001 - Идол на сигурността на информацията или просто най-обикновен стандарт?

ISO/IEC 27001 - Идол на сигурността на информацията или просто най-обикновен стандарт?

Най-обикновен стандарт си е и който си направи система да си пази информацията не може да плесне с ръце и да легне на тази кълка - "Уха! Имам система - край на тревогите за сигурност!"

Но да почнем подред... Защо трябва да приказваме за това? Ами защото последният, далеч не единствен, повод беше съобщението, което чухме тези дни (началото на юни 2016), че хакери гепили данни на хората от американския държавен апарат. Атаката била започната, казват, през декември миналата година, а пазителите на сигурността на американските чиновници се усетили през април тази година. Дано не е вярно, защото е, най-най-меко казано, потресаващо!
Тия чиновници и пазители, вероятно много добре платени, къде са спали цели сто дена?

"И какво от това?" може да каже някой нашенец. Ами това, че по нашите фирми шътат едни специалисти със строги експертни физиономии, които под шапката на одитори на системи за управление на сигурността на информацията, умело маскират некомпетентност и обърканите си представи от позицията на хора, силно загрижени за сигурността на информацията във фирмата, която одитират. Впрочем, всеки одитор се напъва някакси да излъчва компетентност. Какво е това "некомпетентен одитор"? То е нещо като сляп художник или като глух музикант.

Е, може би не всички са такива, но май повечето са... По какво се познават?

Първо, по това, че ... Газят първия принцип на одитирането според ISO 19011, наречен с непреводимата на български език дума "integrity". Подтискат клиенти с груби демонстрации на агресивна компетентност, тръснати на гърба на "некомпетентните" клиенти. А принципът, за който става дума, покрай официалните си обяснения, има едно, което е много важно - "Преди да си станал одитор трябва да си станал човек!" - ей това е "integrity", казано с едно изречение.

Второ, понеже ... Гледат настръхнали от загриженост и подозрение Декларацията за приложимост, за да видят дали има нещо изключено и ако има ... О, ако има!? Ако има, то изведнъж целият одит се свежда до това да се провери дали изключването е правилно и основателно... Но не само това. Не се спират до тук. Те трябва да Ви убедят, че сте прибързали и че сте сбъркали, че трябва да размислите и да включите каквото преди това сте изключили. Иначе казано, "Всичко, каквото сте си мислили и изводите от това мислене са за боклука"! Това ще прочетете в очите им, а те ще ви гледат сериозно и без да мигнат.  

Да си компетентен не значи да назубриш всички изисквания на стандарта и особено онези, които казват какво трябва да е документирано в една система за сигурност на информацията.
Компетентността трябва да стига до там, че да разбираш нещо много просто и очевидно. Че системата е точно такава, каквато трябва на фирмата. И че никоя система, ако ще да е и "най-най-съответстващата" на стандарта ISO/IEC 27001 не спасява организацията от атаки и от пробиви. Въпросът "Че защо тогава ни е да се мъчим да правим система за сигурност?" или "Защо ни искат такъв сертификат в търга (или конкурса)?" има един сигурен отговор. А той е, че системата учи хората на сигурност. Да знаят какво е това "сигурност" и как тя зависи от тях

Нека отговорим на въпроса, поставен тук в заглавието ...  ISO/IEC 27001 си е най-обикновен стандарт, който обаче, за да носи все пак някаква полза, когато го усвоим, трябва да е добре разбран и добре премерен как точно да бъде интерпретиран за фирмата "Хикс"