Как и инциденты, коррективы в системах менеджмента ИБ бывают маленькими и большими. Мелочевку буду называть рацухами, а крупняк - новациями.
Новация – это когда время от времени существенный прорыв. Это создать, отменить, заменить: сделать курс внутреннего обучения, убрать разрешительный порядок ксерокопирования, утвердить новый нормативный документ взамен ранее действовавшего.
Для подавляющего большинства это естественный способ существования ИБ, жить от новации к новации. Но это не перманентный ремонт, а периодически (эпизодически?) производимый капитальный, и то, что он в пределах отдельного процесса, а не всей системы, дела не меняет.
То, чего хочет исо27тыщ, говоря о непрерывном улучшении, это рацухи. Встретился с парой инцидентов, вероятность которых считал низкой - поправь оценочку соответствующего риска (и если вышел за порог приемлемости, то допиши в план обработки контрмеру), не смог наказать внутреннего нарушителя из-за изъяна в формулировке запрета – уточни эту формулировку и т.п.
Плюсы понятны (особенно если читал про патч-менеджмент в стилях вестерн и ориент): необходимые улучшения не откладываются до второго квартала следующего года, когда мы может быть соберемся пересоздавать такой-то процесс и там учтем все накопившиеся пожелания, а инициируются сразу.
Новация использует руководство, поэтому работает медленно и запускается редко. Рацуха способна работать быстро, но требует наличия полномочий внизу.
Если говорить о примере с документацией, то тем и плоха российская традиция писать все в один большой документ и вводить через приказ (чтобы ни одна сволочь не посмела даже на секунду усомниться). Как оперативно удастся поменять пункты в списке 3 приложения 7, если понадобится? А если через неделю опять понадобится?
Вот и пишутся маленькие документы, сегментированные по уровню принятия и целевой аудитории, когда руководство возглашает свою политику в такой-то области и уполномочивает внедренца, тот создает регламент для вовлеченных подразделений, а уж те пишут инструкции своим работникам.
Ремонтопригодность СМИБов ценится их хозяевами, участниками и аудиторами, но консалтеры об этом не задумываются, ведь они только стройку застают.
Как метафора - анекдот про мерседес и пепельницу.
Новация – это когда время от времени существенный прорыв. Это создать, отменить, заменить: сделать курс внутреннего обучения, убрать разрешительный порядок ксерокопирования, утвердить новый нормативный документ взамен ранее действовавшего.
Для подавляющего большинства это естественный способ существования ИБ, жить от новации к новации. Но это не перманентный ремонт, а периодически (эпизодически?) производимый капитальный, и то, что он в пределах отдельного процесса, а не всей системы, дела не меняет.
То, чего хочет исо27тыщ, говоря о непрерывном улучшении, это рацухи. Встретился с парой инцидентов, вероятность которых считал низкой - поправь оценочку соответствующего риска (и если вышел за порог приемлемости, то допиши в план обработки контрмеру), не смог наказать внутреннего нарушителя из-за изъяна в формулировке запрета – уточни эту формулировку и т.п.
Плюсы понятны (особенно если читал про патч-менеджмент в стилях вестерн и ориент): необходимые улучшения не откладываются до второго квартала следующего года, когда мы может быть соберемся пересоздавать такой-то процесс и там учтем все накопившиеся пожелания, а инициируются сразу.
Новация использует руководство, поэтому работает медленно и запускается редко. Рацуха способна работать быстро, но требует наличия полномочий внизу.
Если говорить о примере с документацией, то тем и плоха российская традиция писать все в один большой документ и вводить через приказ (чтобы ни одна сволочь не посмела даже на секунду усомниться). Как оперативно удастся поменять пункты в списке 3 приложения 7, если понадобится? А если через неделю опять понадобится?
Вот и пишутся маленькие документы, сегментированные по уровню принятия и целевой аудитории, когда руководство возглашает свою политику в такой-то области и уполномочивает внедренца, тот создает регламент для вовлеченных подразделений, а уж те пишут инструкции своим работникам.
Ремонтопригодность СМИБов ценится их хозяевами, участниками и аудиторами, но консалтеры об этом не задумываются, ведь они только стройку застают.
Как метафора - анекдот про мерседес и пепельницу.
