Политика информационной безопасности предприятия и другие нормативные документы по ИБ подписываются генеральным директором и обычно вводятся в действие его же приказом. Иногда ещё согласовываются разными замами. При этом нередко бывает, что руководитель говорит: «Нет, такое положение я не подпишу / не согласую! Переделайте.» Если он при этом в хорошем настроении, то ещё и объясняет, почему не согласен. Бывает даже так, что объясняет толково и правдиво.
Каковы же наиболее частые причины?
Формального опроса директоров и замов мы пока не смогли провести. Но по опыту вашего покорного слуги, они таковы. В порядке распространённости.
Политика слишком дорого обойдётся в реализации.
Политика не соответствует тому, что велит госрегулятор, сертифицирующий орган или стандарт.
Политика противоречит закону (чаще всего – правам человека).
Политика недостаточно строга, чтобы защитить от актуальных угроз.
Политика ориентирована на неактуальные угрозы или обходит вниманием актуальные.
...
Я лично не смогу исполнять такую политику.
Хочу подчеркнуть именно то, что руководитель утверждает правила не для себя. Их исполняемость, исполнимость и контролируемость не примеряет на собственную деятельность. Видя, что нормы получились слишком строгими, громоздкими, времязатратными, унизительными или утомительными, он может пожалеть людей или не пожалеть, но о себе он подумает в последнюю очередь. Потому что исполнять – не ему.
И тут самое время припомнить великого человека – Отто фон Бисмарка. Во времена его судьбоносных завоеваний уже было достоверно установлено, что стальной шлем существенно повышает выживаемость солдата в бою и, соответственно, снижает издержки на военно-медицинскую логистику. Но бравые дойче золдатен всячески отлынивали от ношения тяжёлого шлема, чем наносили своей армии урон. И тогда Бисмарк сам стал постоянно носить знаменитый немецкий "пикельхаубе" – всегда, когда появлялся на публике. Здоровье у Железного канцлера было уже далеко не железным, шея сильно болела. Но он терпел. (Пока ему не догадались изготовить шлем-имитатор из папье-маше.) Только упорной каждодневной личной демонстрацией Бисмарк добился исполняемости этой тяжёлой, но нужной меры безопасности.
Кстати, о том же самом говорилКонфуций: управлять, издавая законы – менее эффективно, чем подавая личный пример. К счастью, в наше цивилизованное время стало возможным сочетать то и другое.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
