Tuesday, June 17, 2008

Call For Discussion

14 June has passed and we are ready to wake up our blog :). I want to start by asking a question - what do you think about various IT security and IT audit standards? Do you think they are useful? Vital? What role do they play in your job?

As for me, I have a stance of "all models are wrong, but some are useful".

1 comment:

Sergey Soldatov said...

Амиран,
позволь писать по-русски, я знаю ты понимаешь русский :-).
Те стандарты, что я читал был достаточно тяжелы для прямого применения в жизни (например, небезызвестный ISO 17799). Я пытаюсь это оправдать желанием покрыть как можно больше максимально лаконичными формулировками. По-хорошему к этим стандартам было бы здорово разработать необъятный толмут - Implementation Guide, в котором будет конкретно написано, что делать для выполнения того или иного трабования.

Вцелом, тем не менее, отношение к стандартам позитивное, так как они _должны_ содержать тот список граблей, на которые уже наступали гиганты; те думы о светлом будущем, которые посещали предыдущие поколения; да и, собственно, само разъяснение - что такое есть "светлое будущее", когда всем "хорошо" и вероятность негатива - насколько можно минимальна.

Единственный риск, который я тут вижу, я пытался изложить в своем посте "The Other Side Of Compliance".

Итак, ответы на твои вопросы: "Yes, they're useful", "Not vital, rather moderate", "Referential, except those we have to strictly comply".