?

Log in

No account? Create an account

Previous Entry | Next Entry

Кто виноват в том, что в политике ИБ появляются ненужные, излишние или завышенные ограничения?

Личный опыт вашего покорного слуги говорит о том, что причины их появления ранжируются следующим образом (от частых к редким):
  • составитель политики ИБ слабо связан с повседневной работой простого пользователя, плохо представляет, какие действия каких усилий стоят, на что рядовой пользователь способен, на что нет;
  • политика ИБ составляется не для её исполнения, а ради самого факта её существования или для её представления контролирующим инстанциям, так что об актуальности и исполнимости требований составитель просто не думает;
  • составитель осведомлён, что вписываемые требования неисполнимы, но он желает иметь возможность в любой момент обвинить любого пользователя в нарушении, о защищённости он при этом не думает;
  • политика ИБ тупо переписывается с подвернувшегося образца;
  • составитель осведомлён, что вписываемые требования неисполнимы, но он верит, что чем жёстче требования, тем больше из них будет выполняться.

Что делать? Следовать рекомендациям стандарта 17799, а именно, при составлении политики ИБ привлекать представителей рядовых пользователей. Возможно, с правом голоса. Или даже с правом вето. Что, думаете, это невозможно?


Comments

( 12 comments — Leave a comment )
e1am0
Aug. 16th, 2009 09:51 am (UTC)
в нашей стране в большинстве случаев вряд ли. само появление политики как документа - это уже прыжок в стратосферу
Ригель [blogspot.com]
Aug. 16th, 2009 09:22 pm (UTC)
7799 позволяет не только не допускать некоторые ошибки, но и находить допущенные. Осветил у себя.
(Anonymous)
Aug. 17th, 2009 06:24 am (UTC)
На этапе разработки не всегда возможно (по причине того, что у самих пользователей нужная мотивация отсутствует), а вот перед утверждением бета-тестеры из простых пользователей совершенно необходимы. Причем как из числа сочуствующих, так некоторых профессиональных оппортунистов - они иногда очень ценные замечания дают. Чем то напоминает один из классических методов коллективной работы - внедрение в команду критика, в задачи которого входит критиковать любые идеи, независимо от личного к ним отношения.
infowatch
Aug. 17th, 2009 04:16 pm (UTC)
Эксперименты на людях?!
devteev
Aug. 17th, 2009 08:00 am (UTC)
может все-таки стоит привлекать к составлению политики не простых пользователей, а руководителей и TOP-менеджмент?
(Anonymous)
Aug. 17th, 2009 08:22 am (UTC)
Неужели в Вашей практике встречались компании, где подобный подход к политике ИБ действительно был бы реализован?
infowatch
Aug. 17th, 2009 04:19 pm (UTC)
Встречались. И даже в России.
swan_lj
Aug. 17th, 2009 09:28 am (UTC)
Демократия так о чем речь ?
wikipedia:
Демократия (греч. δημοκρατία — «власть народа») — вид политического устройства государства или политической системы общества, при которой законодательные и исполнительные функции осуществляются как через прямое народовластие (прямая демократия), так и через представителей, избираемых народом или какой-либо его частью (представительная демократия).

О чем речь ? Сотрудники компании избирают Ибшника и поехали...
mixey_undermind
Aug. 22nd, 2009 01:18 pm (UTC)
Re: Демократия так о чем речь ?
ржунимагу(с)
благо хомосапиенсам давно известно, что демократия не применима в таких вещах как защита чего бы то ни было!
edserg
Aug. 25th, 2009 07:59 am (UTC)
Для составления хоть какой-нибудь политики ИБ требуется большое количество времени. Для согласования этой политики тоже большое. Кроме того, нужно иметь глубокое понимание вопросов ИБ, а также заинтересованность в принятии адекватной политики.
Исходя из моего опыта, далеко не каждый топ-менеджер целиком понимает смысл политики. А уж рядовые исполнители (те, которые знают процессы изнутри) и подавно не смогут (или не захотят) вникнуть. Так я о чем: 99% ответственности за составление ПИБ лежит именно на составителе, какие бы усилия не прикладывались для согласования с бизнесами.
Необходимо реально смотреть на вещи: бизнес в России еще не созрел для столь глубокого и осмысленного шага, как разработка ПИБ "всем миром". это мой опыт. Пока что развернуть ситуацию не получается :(.
infowatch
Aug. 25th, 2009 09:20 am (UTC)
Смотрите на вещи шире. Не "бизнес не созрел". Надо спросить, а есть ли в России бизнес? Есть ли капитализм?
edserg
Aug. 25th, 2009 09:33 am (UTC)
тогда надо смотреть еще шире: столько лет застоя и стагнации в плане бизнеса сейчас сказываются именно тем, что мы как вратать с воротами в 10ть раз шире обычного. Наш бизнес (наш капитализм) просто не может за все "новое" ухватиться. Ставят приоритеты в "нагоняйке всего мира, что не переставал развиваться", а безопасность далеко не в высших приоритетах, т.к. на выручку напрямую не влияют.
Но мы ждем улучшений:) Быть может при моей жизни все будет:)
( 12 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow