8 мар. 2010 г.

По случаю отмечания 8 марта, решил поразглагольствовать. Есть такая дурацкая тема как политики безопасности. Столько уж о ней говорят, но реально мало людей понимает что в ней должно быть написано. Небольшой FAQ по политикам безопасности от меня:

- Почему нельзя заставлять писать политику безопасноти собственного CISO?
Потому что он напишет ее так, как удобно ему и вы уже ничего не сможете поменять не уволив этого самого CISO. Будете нанимать нового CISO и просить его написать _свою_ политику?

- Почему нужно просить внешнюю команию писать политику безопасности, а затем контролировать как CISO ее выполняет?
а) Потому что реально политики безопасности мало отличаются от политик такого же банка или предприятия в той же отрасли, это значит что те шаблоны политик, которые будет использовать внешний консультант уже отточены и откатаны на других, а значит он ничего не упустит из рассмотрения.
б) Потому что самое сложное - это не написать политику, а реализовать ее. Нет ничего сложного в том, чтобы решить занятся фитнесом в понедельник, а попробуйте заняться? :)
От CISO требуется знать политику и контролировать ее выполнение и претворение в жизнь. Если не будет человека который что-то контролирует то ничего и не заработает. Контроль внедрения политики - главная задача CISO.
На самом деле иногда требуется помощь консультантов и для реализации политики.

1 комментарий:

  1. Мне кажется, это надо было про анализ рисков писать, политика - совсем уж высокоуровневая декларация на две страницы без прямых последствий. Но там тогда другая засада: у RA частота обновления высокая (при любых изменениях в исходных данных). В-общем, не получается как-то на практике "двух рук", хотя посыл и классический совершенно.

    ОтветитьУдалить