— Константин Павлович, вы начальник службы безопасности и должны знать, что наша фабрика заключает договор с Европейской ассоциацией фармацевтической индустрии.
— Конечно, ведь мы говорим об этом уже год.
— Вы видели, что одно из требований ассоциации — это поведение аудита информационной безопасности?
— Да, конечно! Мы обновили все наши бумаги и, надеюсь, что готовы к аудиту.
— Кто готовил документы?
— Зам начальника отдела ИБ. Мы специально брали его для этой работы.
— Вы уверены в нем?
— Да!
— Смотрите, отвечать всем нам.
И вот настал день «Ч». Приехал проверяющий из Европы. Молодой человек с прекрасным русским языком. Первым делом он затребовал бумаги. Целый день возился с ними, что-то отмечал, подчеркивал… Наконец-то заявил, что к бумагам претензий нет, но настоящий аудит он начнет завтра.
И вот настало утро.
— Доброе утро, господа! Я просмотрел вчера ваши документы. А сегодня мы с вами попробуем понять, как у вас все это внедрено. Итак, по договоренности со мной в 9-00, то есть через две минуты, энергетики обесточат серверную. Отключат линию № 1. Ваши действия?
— Мы перейдем на источники бесперебойного питания.
— Нет-нет. Не рассказывайте, делайте!
— Иваныч, сколько протянут на аккумуляторах?
— Как сколько? 15 минут, как раз чтобы выключиться.
— А вторая линия?
— Автомат не переключил, случилось что-то.
— Что?
— Разбираемся.
— А генераторы?
— Дизельные что ли? А когда мы их последний раз проверяли? Баки пустые, генераторщика у нас нет. Они ж на аутсорсе.
— Как?
— Так финансовый директор вместе с вами отдал их на аутсорс еще два года тому. Я ж говорил, что так нельзя. Но кто ж меня слушает?
— Что делаем?
— Что-что. Я отключаю серверы. Все, завод встал.
— Итак, господа, результат. Из-за отключения электропитания серверная обесточена. Встали первая, вторая и третья линии разлива лекарств в ампулы. Завод встал.
Через два часа разговор продолжили в приемной директора.
— И что вы можете сказать в свое оправдание? Главный энергетик!
— Что сказать? Подача электроэнергии с первого и второго ввода шли в противофазе. Из-за этого автоматическое переключение не произошло.
— Кто и когда проверял? Зам по ИБ, вы этим занимались?
— Да, я проверял и писал главному энергетику. Трижды.
— Почему не приняты меры?
— Мы пытались сделать, но у нас не вышло.
— А что с генератором?
— По настоянию финдиректора была проведена кадровая оптимизация и дизель-генераторы переданы на аутсорсинг фирме Д. Они регулярно проводили все необходимые работы.
— Кто контролировал с нашей стороны?
— Руководитель по ИТ и главный энергетик! Они подписывали акты.
— А кому принадлежит эта фирма?
— Их женам!
— И вы как начальник службы безопасности не обратили на это внимания?
— Ну почему же? Мои докладные лежит у вас. Вот копии с входящими номерами. Их аж четыре.
— Разберемся.
Через неделю директор (она же владелец фабрики) своим приказом уволила весь руководящий состав службы безопасности и службы ИБ за проваленный аудит. Нет, ну не увольнять же своего зятя — начальника ИТ или своего же кума — главного энергетика?!
Как давно вы проверяли энергетическую безопасность вашей серверной? И проверяли ли вообще? А главное — кто проводил аудит?
