Стандарты по ИБ – лучше ли книга?

Добавить комментарий

Если вы хоть как-нибудь соприкасаетесь  с современной культурой, то должны были слышать выражение «книга лучше». В общем смысле ее применяют к экранизации книг в виде фильмов, реже мультфильмов, аниме и манги.

Тяга к знаниям

Корень этого феномена очень прост – гениальность источника. Что интересно, лучшие экранизации происходят по довольно средним и проходным книгам, в которых читателю не хватает собственной фантазии для визуализации. И, разумеется, кино как жанр имеет кучу ограничений, основные из которых — время картины (как впихнуть 600 страниц в 2-3 часа?) и невозможность визуализации мыслей и текста рассказчика (конечно, можно заменить закадровым голосом… но будете ли вы это смотреть, если зачитаю 3 страницы вместо двух предложений?). Тему можно развивать и развивать, но пока этот блог об информационной безопасности. Поэтому перейдем к ней.

Что неудивительно, в нашей поибэ тоже есть место фразе «книга лучше». Смотрите, вся нормативка, по которой мы работаем – это «книги».  Когда книги объединяются в серию, у нас появляется стандарт или группа стандартов. Например, СТО БР или ISO.

В этом случае экранизацией будет конкретная реализация положений стандарта и совокупность подобных реализаций. Например, всех проектов по PCI DSS.

Осталось разобраться с понятием «лучше». Тут все просто как и с обычными книгами. Если стандарт большой и красивый, а реализовывают его криво и косо – «книга лучше». Но если стандарт неказист, а из него делают конфетку (во всех смыслах – от полноты реализации до количества выделяемых денег), то – «книга хуже».

Самые внимательные из вас заметили, что есть еще и вариант равнозначности (одинаково плохо, или хорошо, или не очень хорошо). Эти варианты редки, и мы ими пренебрежем.

Смотрите, что у меня получилось:

  • PCI DSS. Книга лучше.
  • ISO 27001. Книга лучше.
  • ISO Книга лучше.
  • ITIL. Книга лучше.
  • СТО БР ИББС. Книга лучше.
  • 382-П. Книга хуже.
  • Персональные данные. Книга хуже.
  • Защита коммерческой тайны. Книга хуже.

Можно заметить, что большинство лучших книг довольно скрупулёзно прописаны. Остается всего делов-то — внедрить кучу шаблонных бумажек, как в ISO 9001. Другое дело – родной ЗПД. Две статьи и море творчества.

Удачи вам.

Добавить комментарий