Жил да был циничный безопасник в ИТ-компании. Проектировал и внедрял системы ИБ на десятки тысяч рабочих мест, получил отличные ЗП и бонус, и молился на ТОП-4 мер ИБ от австралийской службы разведки и безопасности (рисунок) - верил что СЗИ избыточны, и достаточно whitelisting приложений, патчевания и ограничения использования админских прав.
И невдомек ему было, что трехмесячный цикл патчинга это еще очень хорошо, админы регулярно забивают на директивы безопасности, а попытка внедрения whitelisting может привести к всамделишнему бунту пользователей против ИБ, т.е. для внедрения ИБ непосредственно в бизнес-процессы необходим определенный уровень культуры ИБ.
Культуру ИБ, возможно, стоит поставить еще перед классическим анализом риском или угроз, так как она является фундаментом для всей деятельности ИБ - от проектирования процессов и обсуждения рисков до согласования и поддержки внедрения политик и технологий.
Культуру ИБ, возможно, стоит поставить еще перед классическим анализом риском или угроз, так как она является фундаментом для всей деятельности ИБ - от проектирования процессов и обсуждения рисков до согласования и поддержки внедрения политик и технологий.
Комментариев нет:
Отправить комментарий