Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

вторник, 25 января 2011 г.

ISO 27001 <> СОУ Н НБУ 65.1 СУІБ 1.0:2010

Общался сегодня с бывшим коллегой из моего банковского прошлого. Услышал от него интересный комментарий, полученный якобы от Ирины Сергеевны Ивченко (главный идеолог и методолог СОУ Н НБУ 65.1 СУІБ 1.0:2010 и смежных стандартов). Что, даже если банк сертифицирован по ISO 27001, это не значит, что банк соответствует требованиям СОУ Н НБУ 65.1 СУІБ 1.0:2010.
Моя первая реакция была - "бред". СОУ является локализированной версией ISO.
В той же методичке по внедрению написано, что в случае соответствия банка стандарту СОУ Н НБУ 65.1 СУІБ 1.0:2010, Нацбанк гарантирует (тут он, конечно, погорячился) соответствие ISO 27001. А обратной совместимости выходит нет?
Но потом вспомнил главное ключевое отличие ISO и СОУ - в ISO мы можем сертифицировать один процесс и получить сертификат. В СОУ же четко сказано: объем для внедрения - весь банк.
Видимо из-за незнания этого нюанса, незрелые консультанты, которые мечутся сейчас по банкам с предложениями внедрить "все как по стандарту", обещают уложится за 3 недели. А может это осознанное желание "успеть рубануть денег, а там как карта ляжет"...

Комментариев нет:

Отправить комментарий