Цитата |
---|
Олег Кузьмин (Alkor) пишет: ффициент возврата инвестиций ROI, как же он будет работать правильно если мы не сможем заложить в него все необходимые составляющие. Мы заложим туда возможные инциденты, расчетное их чило в пересчете на год? Конечно нет, я и пишу в статье, что о большинстве инцидентов обычно не бывает известно ни ИБ, ни кому-нибудь другому, следовательно этот показатель - величина крайне условная. |
Абсолютно согласна.
На ум приходит чисто филослфская ремарка
Небезызвестная всем и дико дорогая, на мой взгляд, программа, которая обещает со всем этим справиться, Risk Watch. Методика, ее сопроводжающая, предлагает использовать для оценки статистику инцидентов по отрасли, по региону или даже по городу!
Сколько думаю над этим, столько удивляюсь, неужели
у них это все жизнеспособно!? Еще большее удивление и уважение вызывает осознание ненулевой вероятности того, что эта статистика собирается и используется!
Если это так, то мы вынуждены признать, что проблема-то гораздо шире. Не в инсайдерах дело, не в обхдоных листах даже
Дело, во-первых, в отсутствии индустрии. Нет у нас индустрии информационной безопасности. Ладно, фиг с ней со статистикой, сбор которой должен являться составной и обеспечавающей частью. Фиг с необходимостью раскрытия информации об инцидентах, которое вроде как, с точки зрения
лучших практик, должно выполняться всеми участниками рынка, чтоб опять-таки поддерживать индустрию иформационной безопасности, но никем никогда у нас не делавшееся.
Во-вторых, вопрос вот еще в чем. Вот мы хотим защититься от инсайдеров, да? А кто-нибудь из уважаемых читателей предпринимал попытки внедрить у себя в компании режим коммерческой тайны в соответствии с действующим законодательством? Без комментариев. Кто пытался, тот понял.
Культура. Хороший такой стандарт Банка России (там и приснопамятная СММ даже есть, правда, весьма фрагментарно) говорит нам, что соблюдение принципов информационной безопасности в значительной степени является элементом корпоративной этики, поэтому на уровень информационной безопасности в компании серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником. Поэтому этими отношениями необходимо управлять. Кто-нибудь управляет? Вот у господина
Ригеля, например, все сотрудники или дураки или враги. То ли пожалеть его (в таких тяжелых условиях человек работает), то ли задуматься, о какой корпоративной культуре при таком отношении может идти речь?
Может быть, мы пытаеся лечить симптомы, не видя причин? А причины в отсутствии нормальных законов, индустрии и культуры.
P.S. Понимаю сейчас, что ничего нового не сказала, просто захотелось выступить и подытожить всех предыдущих ораторов.
Складывается впечатление, что мы огромную дыру в трубе пытаемся заткнуть пальцем. Не решить проблему инсайдеров одними только техническими и организационными (читай - запрещающими) мерами. Разруха, она в головах. А с головами как-то по-другому работать надо. Нежнее, что ли.