Всем привет! Сегодня поговорим про управление ИБ и использование стандарта ISO 27001 для этого.
Опыта по теме много, готов им делиться.
Впервые я познакомился с ранними версиям стандарта ещё в 2007 году, когда работал инженером по ИБ в РЖД, и серия стандартов ISO стала для меня отличным дополнением, а потом и заменой подхода СТР-К. Затем я работал в ЛЕТА ведущим консультантом и руководителем отдела, занимающегося именно проектами по 27001, тогда мы внедрили и помогли с сертифицикацией нескольких СУИБ. Потом изредка были отдельные частные проекты и консалтинг. Сейчас я работаю во внутренней ИБ на должности Менеджера по методологии ИБ, в прошлом году мы внедрили и сертифицировали свою СУИБ (область сертификации - вся компания: 2 офиса в РФ и 2 в Финляндии) и уже прошли несколько циклов «непрерывного улучшения». В рамках СУИБ сейчас я отвечаю за общую архитектуру/модель СУИБ (втч за верхнеуровневые документы и выравнивание со внешними требованиями) и ряд процессов: аудиты ИБ (внутренние и внешние), измерение ИБ и оценка со стороны руководства, работа с несоответствиями, проведение Комитетов по ИБ, управление ИБ при работе с поставщиками, повышение осведомленности. Также я являюсь автором нескольких курсов по “лучшим практикам” ИБ и в частности, СУИБ по 27001, но это уже так, лирика и мемуары…
Для меня 27001 и другие стандарты серии - это в первую очередь набор рекомендаций и “лучших практик”, они помогают смотреть на ИБ комплексно и системно. Они уже более 10 лет вдохновляют и выручают меня…
