Жил-был CISO в госкомпании ТОП-50. Был он вьедлив, умен и системен, запугивал финдира описаниями рисков на десятках страниц, и несколько лет назад для обоснования программы ИБ сделал Страшное - пригласил проверку ФСТЭК.
То чего многие так боятся он организовал сам. Приглашенные бойцы из ФСТЭК особо не сопротивлялись, подмахнули сделанный за них отчет, и даже частично перешли на работу к CISO. Позже ФСТЭК согласовал верхнеуровневые документы по ИБ, окончательно "освятив" систему ИБ госкомпании. Аудиты ИБ дочерних компаний проходили аналогично, CISO в первую очередь спрашивал о проблемах, и отправлялся на беседу с генеральным директором. В абсолютном большинстве случаев "вдруг" находились деньги на ИБ, а наш герой отправлялся в штаб-квартиру с "магарычем" и доброй памятью.
Теперь CISO работает в другой госкомпании, помнит определения из всех ИТ и ИБ ГОСТов, на память цитирует СТР-К, и самая маленькая его проблема это соответствие требованиям. Не боится он проверок и не заморачивается ФЗ-152.
Мораль байки проста - проверяющие тоже люди, и если в организации действительно занимаются ИБ - с ними можно будет договориться. С другой стороны квалификация проверяющих вполне может быть ниже квалификации CISO.
То чего многие так боятся он организовал сам. Приглашенные бойцы из ФСТЭК особо не сопротивлялись, подмахнули сделанный за них отчет, и даже частично перешли на работу к CISO. Позже ФСТЭК согласовал верхнеуровневые документы по ИБ, окончательно "освятив" систему ИБ госкомпании. Аудиты ИБ дочерних компаний проходили аналогично, CISO в первую очередь спрашивал о проблемах, и отправлялся на беседу с генеральным директором. В абсолютном большинстве случаев "вдруг" находились деньги на ИБ, а наш герой отправлялся в штаб-квартиру с "магарычем" и доброй памятью.
Теперь CISO работает в другой госкомпании, помнит определения из всех ИТ и ИБ ГОСТов, на память цитирует СТР-К, и самая маленькая его проблема это соответствие требованиям. Не боится он проверок и не заморачивается ФЗ-152.
Мораль байки проста - проверяющие тоже люди, и если в организации действительно занимаются ИБ - с ними можно будет договориться. С другой стороны квалификация проверяющих вполне может быть ниже квалификации CISO.
Комментариев нет:
Отправить комментарий