Comments 5
Вот если бы такой обзор по документам ФСТЭК и их разложению по полочкам, тогда вообще бы не было цены этим материалам!!!
По документам ФСТЭК России у нас были следующие публикации:
Российское и международное законодательство в области защиты персональных данных
Обзор российского законодательства по защите критической информационной инфраструктуры
Как говорится, Welcome!
Российское и международное законодательство в области защиты персональных данных
Обзор российского законодательства по защите критической информационной инфраструктуры
Как говорится, Welcome!
Отличное изложено, спасибо!
Вот только глядя на заражения даже крупнейших компаний, пропуски писем мошенников и прочее интересно — как организации, прошедшие такую сертификацию, оценивали эти риски, какой уровень им назначили и какие действия приняли
Вот только глядя на заражения даже крупнейших компаний, пропуски писем мошенников и прочее интересно — как организации, прошедшие такую сертификацию, оценивали эти риски, какой уровень им назначили и какие действия приняли
Всегда пожалуйста!
По поводу успешных атак на организации, которые получили статус сертифицированных по ISO 27001, можно сказать, что, во-первых, любая процедура сертификации формализована и зачастую подразумевает скорее документальное подтверждение выполнения требований, а техническую реализацию всех тонкостей практически нереально проверить. А во-вторых, никакая сертификация не отменяет необходимости поддерживать состояние системы управления ИБ на должном уровне даже после получения статуса, поскольку угрозы постоянно эволюционируют и для противостояния им нужны действенные контрмеры, актуальные именно на момент атаки, а не на (прошедшую) дату получения статуса.
По поводу успешных атак на организации, которые получили статус сертифицированных по ISO 27001, можно сказать, что, во-первых, любая процедура сертификации формализована и зачастую подразумевает скорее документальное подтверждение выполнения требований, а техническую реализацию всех тонкостей практически нереально проверить. А во-вторых, никакая сертификация не отменяет необходимости поддерживать состояние системы управления ИБ на должном уровне даже после получения статуса, поскольку угрозы постоянно эволюционируют и для противостояния им нужны действенные контрмеры, актуальные именно на момент атаки, а не на (прошедшую) дату получения статуса.
Sign up to leave a comment.
Анализ международных документов по управлению рисками информационной безопасности. Часть 2