среда, 22 августа 2012 г.

Местечковая информационная безопасность

   В последнее время регулярно слышу призывы "быть ближе к реальности" и "лучшие практики не учитывают специфики конкретного предприятия" (контраргументы банальны - лучшие практики надо адаптировать, ну а без проектирования состояния to-be улучшения будут хаотичными), но вот бывает и наоборот.. а именно - люди на собственном опыте (который может быть весьма маленьким) без применения лучших практик (т.е. изобретая велосипед) пытаются чего-то научить далеких от сферы ИБ людей.
   Вроде бы оно и ничего - в самом деле, далеким от сферы ИБ людям хоть что-то бы о ИБ узнать;) Но вот есть врожденный порок у ориентации исключительно на собственный опыт - "местечковость". Каждый из нас имеет ограниченную продолжительность жизни и только совместный опыт десятков специалистов имеет право существовать как свод знаний, т.к. только он может быть с одной стороны быть применимым к среднему предприятию (поддаваться доработке) а с другой - не страдать от "детских" ошибок из-за отсутствия глубоких знаний о том или ином процессе ИБ.
   Хорошим примером является деревенская изба. Да, она может быть сделана хорошо и хорошо выглядеть, но вот всякие мелочи типа неверно выбранного типа древесины (а именно выбора бревен с дефектами - сучками, трещинами и пр.) можем свести всю работу по строительству в ноль.
  Поэтому в строительстве используют ГОСТы;) У нас свои госты - ISO 27001, в какой-то степени Cobit иCOSO, NIST-ы, PCI\PA-DSS, разнообразные национальные стандарты и пр. Так может будем все же строить на основании чего-то общего?;)

P.S. По остывшим следам вебинара коллеги...

Комментариев нет:

Отправить комментарий