среда, 3 февраля 2016 г.

СтрашноФСТЭК и добрый CISO

    Жил-был CISO в госкомпании ТОП-50. Был он вьедлив, умен и системен, запугивал финдира описаниями рисков на десятках страниц, и несколько лет назад для обоснования программы ИБ сделал Страшное - пригласил проверку ФСТЭК.

     То чего многие так боятся он организовал сам. Приглашенные бойцы из ФСТЭК особо не сопротивлялись, подмахнули сделанный за них отчет, и даже частично перешли на работу к CISO. Позже ФСТЭК согласовал верхнеуровневые документы по ИБ, окончательно "освятив" систему ИБ госкомпании. Аудиты ИБ дочерних компаний проходили аналогично, CISO в первую очередь спрашивал о проблемах, и отправлялся на беседу с генеральным директором. В абсолютном большинстве случаев "вдруг" находились деньги на ИБ, а наш герой отправлялся в штаб-квартиру с "магарычем" и доброй памятью.
     Теперь CISO работает в другой госкомпании, помнит определения из всех ИТ и ИБ ГОСТов, на память цитирует СТР-К, и самая маленькая его проблема это соответствие требованиям. Не боится он проверок и не заморачивается ФЗ-152.
Мораль байки проста - проверяющие тоже люди, и если в организации действительно занимаются ИБ - с ними можно будет договориться. С другой стороны квалификация проверяющих вполне может быть ниже квалификации CISO.

Комментариев нет:

Отправить комментарий