dowiedziałem się właśnie, że iso opublikowało standard (iso27001) tyczący się bezpieczeństwa systemów informatycznych.
jest to o tyle istotne, że biorąc pod uwagę ostatnie wydarzenia na świecie (zgubione laptopy z danymi ludzi, wycieki danych) mogę sobie bezproblemowo wyobrazić jak duże firmy zaczną wdrażać ten standard i dodatkowo będą go wymagać od podwykonawców.
dokładny standard można przeczytać poprzez zakup ($107 lub 90 funtów) – nawet jeśli nie zamierzamy (nie chcemy, nie stać nas, nie widzimy potrzeby) faktycznie uzyskać certyfikatu zgodności – zawsze wiedza tam zawarta, “best practices" i międzynarodowe standardy zachowania będą bardzo przydatne.
A IEC/ISO 17799? Jest “na rynku” już dość długo, działa w niektórych korporacjach, w innych starają się to wdrożyć. Nie czytałem tego ISO, o którym piszesz, ale domyślam się, że ma inny scope. Z 17799 można zrobić checklistę (na sans.org widziałem chyba nawet gotowe) i porównać z procesami przetwarzania informacji w swojej firmie/organizacji – dla małych firm o garażowej genezie wnioski mogą być ciekawe.
odpowiem cytatem:
“Official known as ISO/IEC 27001:2005, this standard, published last October, will replace the British BS7799-2 and the ISO 17799 standard; the latter may, however, be renumbered ISO 27002, but ISO has not made a final statement regarding ISO 17799 renumbering yet.”
Schneier twierdzi, a mi zostaje się tylko z nim zgodzić, że nie będzie bezpieczeństwa w IT bez odpowiedzialności.
Dopóki będzie można sobie wpisać w licencję, że nie odpowiadamy za swój produkt, dopóty bezpieczęństwa nie będzie.
Wyobrażasz sobie budowniczego wieżowca mówiącego: “No, to co, że zrobiłem do bani projekt – to, że się zawalił to nie moja wina” ? 🙂
A w IT nie trzeba sobie nawet wyobrażać – wystarczy wziąść pierwszą lepszą EULA :>