Борис Гончаров: Корпоративная система информационной безопасности — это новый способ функционирования (часть 2)
Опубликовано: 21.05.2023
CISSP является зарегистрированным товарным знаком Международного консорциума по сертификации безопасности информационных систем в США и других странах.
Вторая часть интервью с Борисом Гончаровым (первую часть вы можете найти здесь ).
New Horizons Bulgaria:Каковы преимущества системы корпоративной информационной безопасности? Борис Гончаров:Одно из главных преимуществ в том, что это заставляет организацию, использующую такую систему, работать совершенно по-другому, приобретая новое, более глубокое понимание ценности того, что она делает. Ведущим является понимание того, что информация – это актив, и, пожалуй, самый важный.Представьте себеназначение цены каждому отдельному документу или каждой отдельной идее.И документы, и идеи являются информационным активом и имеют собственную ценность и важность для вашего бизнеса. Такая система дает возможность всему руководству, всей организации понимать стоимость своих активов в мельчайших подробностях, т.е. иметь возможность оценить, что для нее представляет каждый документ, каждый договор, каждое действие, которое связано с обменом информацией.
Люди понимают ценность того, что они создают своим интеллектом. Их творчество воплощается в процедурах, процессах и т. д. и у него есть своя "цена".
Отдельно можно сказать, что то, как организация начинает работать при внедрении такой системы, меняет способ общения со своими клиентами, повышает качество предлагаемых услуг, повышает дисциплину своих сотрудников, повышает эффективность, а не наоборот, как принято считать. Благодаря тому, что в любой момент человек имеет свои обязанности, знает свои обязанности и порядок, в котором что-то нужно делать, это гораздо больше, чем система.Это в значительной степени меняет то, как функционирует и работает вся организация.Это совершенно другое. Я думаю, это шаг вперед, который должен сделать каждый.
New Horizons Bulgaria:Как специалист, который также имеет опыт работы с ISO 9001, можете ли вы сказать, что 27001 включает в себя практику этого стандарта и достигает большей части его результатов?Борис Гончаров:В принципе, ISO 9001 — это что-то крайне концептуальное в своем смысле, достаточно формальное, и поэтому его внедряют везде — люди видят в нем раздражающее обязательство, которое они должны соблюдать. работать на определенных этапах времени, прикреплять к документам шапки, где должен быть прописан номер документа и т.д.
ISO 27001 написан одной и той же организацией и можно наблюдать тот же подход — есть такие таблицы наложения двух стандартов, которые показывают, что цикл разработки и внедрения систем одинаков.
Но главное отличие состоит в том, что ISO 27001 сама по себе является системой управления рисками и имеет большую ценность для организации, поскольку чувствует пульс организации и находится в ее рамках; чувствует самые острые темы о компании и бизнесе, как выжить, если случится что-то непредвиденное, что делать, если столкнулся с бедой или проблемой. Стандарт встроен в стратегию компании и является ее неотъемлемой частью. ISO 9001 фокусируется на самом продукте, на том, как организация предлагает его своим клиентам, и на управлении производительностью этого продукта. Вот почему гораздо лучше, когда мы говорим окомпаниях из производственного сектора.
New Horizons Bulgaria:Каковы самые большие проблемы при внедрении таких систем (для корпоративной безопасности)?Борис Гончаров:Как я уже говорил,главная задача состоит в том, чтобы опровергнуть представление о том, что руководство не имеет ничего общего с информационной безопасностью или что оно должно только делегировать полномочия, а не нести ответственность для этого процесса. То, как это на самом деле происходит и может происходить, прямо связано со стратегическими целями компании, стратегическим планированием и стратегическим управлением рисками.
ISO 27001 был создан для этой цели, и способ, которым можно продвигать идею информационной безопасности в целом, заключается в том, чтобы интегрировать ее в стратегическое управление организации как ее неотъемлемую часть. Менеджмент сможет понять ценность этой системы, когда на практике она станет центром управления рисками, а все остальные станут ее частью, потому что ISO 27001 не имеет аналогакак система менеджмента и постепенно в В процессе реализации он становится ядром стратегии, а все остальные - ее элементом.
New Horizons Bulgaria:Требуется ли техническая компетентность для внедрения этой системы? Борис Гончаров:Нет, если честно, несмотря на утверждения в литературе, такие навыки не требуются. Даже в некоторых западных исследованиях утверждается, что ответственному за внедрение человеку лучше занимать руководящую должность, с опытом управления изменениями и управления проектами, чем в сфере ИТ.Завтра ожидайте третью часть интервью Бориса Гончарова о CISSP - концепция и сертификат.
София, 6 мая 2010 г.