Это означает, что политика доступа существует и она реализована. Политика не обязательно должна быть "драконьей" и запрещать все кроме короткого списка ресурсов, относящихся к бизнесу компании. Уровень доступа каждый бизнес определяет самостоятельно, но этого уровня нужно придерживаться. К сожалению, обычно у нас наоборот - формально все запрещено, а фактически все ходят куда душа желает. В особенности это касается руководителей и айтишников.
2. Все без исключения пользователи регулярно изменяют пароли.
Это значит, что политика срока жизни пароля настроена, агалочка "Password never expires" не установлена ни на одной учетной записи. "Ни на одной" означает, что ни высшее руководство, ни непосредственное начальство доменного администратора, ни особо приближенные к последнему не располагают такой привилегией. Признаюсь честно, так бывает крайне редко. И наступает обычно в следствие инцидента, во время которого был использован аккаунт с не истекающим паролем.
3. Бизнес- и ИТ-директора не считают себя экспертами в ИБ.
Многие генеральные директора искренне уверены, что любая проблема ИТ-безопасности решается при помощи межсетевого экрана. Это пагубное следствие рекламной политики вендоров и без сомнения является плохим признаком. Вообще, стоит насторожиться, если руководство верит в какую-нибудь панацею от ИБ. Например, "Мы поставим firewall, поднимем VPN, установим везде антивирус и ни один хакер к нам не вломится."Конечно не вломится - зайти через неохраняемую дверь намного проще.
4. Не используется устаревшее и не обновляемое ПО.
Тут без комментариев. Если на ПК и серверах компании крутится что-то типа JRE 1.6.02 или Sendmail 8.9.x - работы тут непочатый край. Причем построить управление обновлениями это не самая сложная задача - главная проблема в головах айтишников.
5. Здоровое отношение к соответствию стандартам (CobiT, SOX, ISO27000, PCI DSS etc).
Стандарт это лучше, чем ничего, но и не предел мечтаний. Очень хорошо, когда бизнес это понимает. Иначе любые издержки на ИБ придется мотивировать исключительно с позиции "не купим - не пройдем аудит". А успешное прохождение аудита надолго избавит руководителя ИБ от прозябания над бюджетом.
6. В компании есть человек, который может ответить на вопрос "сколько у нас компьютеров".
На самом деле, этот пункт должен быть первым. Отсутствие инвентаря ИТ-систем - суровая реальность в большинстве компаний. Подсчет учетных записей компьютеров в Active Directory не дает даже приблизительного результата, потому что устаревшие и переименованные аккаунты все равно никогда не удаляются и не блокируются.
