Обсуждая эту тему с коллегами, понял, что придется сделать шаг назад (именно поэтому заметка называется «часть 0») и сказать пару слов об уровнях деятельности в рамках защиты информации.
В своей практике выделяю 3 уровня:
- стратегический;
- тактический;
- операционный.
На стратегическом уровне решается зачем мы вообще этим занимаемся (нужно ли), где мы сейчас находимся и куда мы ходит прийти. Ключевой момент на данном этапе – это правильная постановка целей (здесь поможет принцип SMART и его модификации).
На тактическом уровне формируется пул проектов и/или активностей, которые нам необходимо реализовать, чтобы достичь поставленных «выше» целей. Я встречал, что данный уровень еще называют Программой информационной безопасности организации (Information Security Program).
И теперь переходим к самому интересному, т.е. операционному уровню.
На мой взгляд, это повседневные активности ИБ-подразделений, которые, безусловно, трансформируются с течением времени.
А вот, что вкладывают в это коллеги по отрасли мы и рассмотрим в рамках цикла заметок.
В заключении хотел бы обратить внимание на один очень важный момент, как сказано в древнекитайском трактат «Искусство войны»: Стратегия без тактики – это самый медленный путь к победе. Тактика без стратегии – это просто суета перед поражением, к сожалению, ситуации, когда нет стратегии, а ещё если нет тактики, и приводят к положению «безопасность ради безопасности».
