Страницы

среда, 17 февраля 2010 г.

Переводы \ Как (не) нужно строить программу безопасности "с нуля"

Нашел два очень интересных поста и решил их перевести (второй является ответом на первый). Очень интересное сравнение теоретического подхода с практическим.
P.S. Оказывается сложности в построении ИБ в Америке не сильно отличаются от наших :)

Итак, первый пост написал некий Энди, который (судя по информации, которую он указал о себе в своем блоге) является бывшим ИТ-специалистом, сравнительно недавно увлекшимся вопросами безопасности.
Построение программы безопасности "с нуля"

Если бы я пришел в компанию, в которой у меня были бы развязаны руки и я мог бы делать то, что хотел, я сначала поискал бы вещи, от которых я смог бы получить максимальную отдачу очень быстро, а затем сосредоточился бы на долгосрочном стратегическом планировании. Конечно, легко сказать, я сделаю «X» и «Y», но реальное внедрение – это отдельная история. Перед внедрением потребуется время на планирование и тестирование. Я бы сказал, что первое, что я сделал бы – это внедрил систему мониторинга, чтобы получить некоторое представление о происходящем. Вероятно, что-то типа Snort в режиме чистого IDS – это позволит мне идти дальше.

Как только это заработает, я, наверное, перейду к реализации программы Управления Уязвимостями, которая начнется с патчей к приложениям и операционным системам, а затем я сосредоточусь на сканировании, тестировании, эксплойтах и т.д... После того, как Управление Уязвимостями будет внедрено, я буду работать над созданием хорошей программы обучения и повышения осведомленности в области безопасности, чтобы помочь своим пользователям понять риски. Одновременно с этим я буду заниматься вопросом стратегического управления (governance) – я буду работать с бизнес-подразделениями, чтобы понять их потребности и обеспечить тем самым актуальность и эффективность Политик и Процедур.

Это всего лишь отправная точка. Предстоит сделать еще множество вещей. Конечно, это просто пример, и большинство реальных решений будет зависеть от текущей позиции безопасности, рисков, уязвимостей, потребностей бизнеса и т.п.
Ему в своем блоге отвечает некий Бен, который (судя по его резюме) является гораздо более опытным специалистом в ИБ.
Как НЕ следует строить программу безопасности

Если вы собираетесь взяться за работу на еще «непаханом поле», где не сделано еще ничего, вы столкнетесь с огромным сопротивлением и инертностью организации. Конечно, вам рассказали чудесную историю на собеседовании, заверили в чрезвычайной важности безопасности для организации и полной поддержке со стороны руководства, но реальность гораздо сложнее. У вас не будет способов узнать о действительной поддержке высшего руководства, пока вы реально не приступите к работе в организации и не обратитесь за реальной поддержкой.
"Если бы я пришел в компанию, в которой у меня были бы развязаны руки и я мог бы делать то, что хотел, я сначала поискал бы вещи, от которых я смог бы получить максимальную отдачу очень быстро, а затем сосредоточился бы на долгосрочном стратегическом планировании".
Здесь есть неправильное неявное предположение. Никто всерьез не будет обещать вам «развязанных рук» и позволять делать «что вы хотите». Реальность такова, что бизнес уже существовал до вашего прихода, и, вероятно, сможет существовать и без вас в будущем, по крайней мере, в глубине души они будут считать именно так.

Кевин Риггинс очень верно подметил в комментариях к посту Энди, что первое, что следует сделать после приема на работу – это вернуться к руководству и снова, уже всерьез, обсудить свои обязательства и его (руководства) поддержку. Без этого ваша жизнь станет намного труднее. Если вы думаете, что вы сможете сделать что-то существенное «снизу-вверх», то вы заблуждаетесь. Подход «снизу-вверх» применим для некоторых текущих задач, но не смейте при таком подходе даже заикаться о стратегиях и рисках.
"Я бы сказал, что первое, что я сделал бы - это внедрил систему мониторинга, чтобы получить некоторое представление о происходящем".
Нельзя сказать, что это неправильно, просто это попытка перепрыгнуть через ряд шагов. Мониторинга чего? Логов? IDS? Журналов межсетевого экрана? А есть ли сервер для хранения логов? Вы говорите о системе SIEM?! Что у нас при этом с политиками и практиками работы? Ну хорошо, вы включили мониторинг и увидели массу плохих вещей... и что теперь? У вас есть политика и поддержка высшего руководства, необходимые для того, чтобы действительно что-то сделать с увиденными проблемами? А это определяющий фактор, без вариантов.

Вашей первоначальной целью должна быть быстрая оценка текущего состояния среды и подготовка к реализации защищенного и восстановимого состояния среды. Обратите внимание, я говорю "быстрая оценка". Она может быть действительно сделана достаточно быстро. Следует прогуляться по нескольким помещениям организации, по-человечески поговорить с людьми, зайти к руководителям технических подразделений. А уже затем приступать к построению плана действий.

Самое важное, вам необходимо узнать, что имеет решающее значение для бизнеса. Типа, если что-то произойдет с «X», то для «Y» все закончится очень плохо.

Кроме того, обратите внимание, что я не говорю о "рисках" вообще. Забудьте на мгновение о рисках и подумайте о простой приоритезации. Это очень просто приводит к: а) выяснить, что является критичным для бизнеса, б) защитить то, что является критичным для бизнеса, и в) создать планы восстановления того, что является критичным для бизнеса, если произойдет что-то нехорошее.
"Как только это заработает, я, наверное, перейду к реализации программы Управления Уязвимостями, которая начнется с патчей к приложениям и операционным системам, а затем я сосредоточусь на сканировании, тестировании, эксплойтах и т.д... "
Честно говоря, у меня отвалилась челюсть, когда я читал это… Безусловно, патчи очень важны, но в таком контексте это создает ложное впечатление, что это легко и тривиально. В действительности нужно сделать очень много вещей, прежде чем переходить к такой программе! Управление изменениями, управление конфигурациями, управление доступом и т.д. Конечно, все это не обязательно для непосредственной установки патчей, но программа Управления Уязвимостями без этого работать не будет. Тем более сканирование, тестирование и эксплойты… Это же просто игры с огнем, в этой области нужно быть очень осторожным, очень!

Чтобы перейти от работы с патчами по принципу «установи и молись» к нормальной программе Управления Уязвимостями, необходимо точно знать, какие изменения происходят в вашей среде, когда они происходят, что они делают (воздействие), кто выполняет изменения, а также кто разрешил это, между прочим. Да, нужно начать устанавливать патчи (если это еще не делается), но не стоит торопиться с проектом Управления Уязвимостями, пока нет других процессов.
«После того, как Управление Уязвимостями будет внедрено, я буду работать над созданием хорошей программы обучения и повышения осведомленности в области безопасности, чтобы помочь своим пользователям понять риски. Одновременно с этим я буду заниматься вопросом стратегического управления (governance) – я буду работать с бизнес-подразделениями, чтобы понять их потребности и обеспечить тем самым актуальность и эффективность Политик и Процедур».
Ранее Энди говорил о долгосрочном стратегическом планировании, которое очень хорошо в теории, но на практике – не очень. Энди заканчивает свой пост фразой "это всего лишь отправная точка". Справедливо, однако такой подход слишком техничен. Он не предполагает реального понимания и знания бизнеса, окружения и, самое важное, людей.

Позвольте мне предложить альтернативный совет:

1. Получите реальную поддержку руководства. Вам необходима очень сильная поддержка руководства. Без этого получается что-то типа «ответственности без полномочий». Если у вас нет полномочий вносить изменения напрямую (крайне маловероятно), вам придется каждый раз проходить через несколько уровней руководства, чтобы сделать что-то. А пассивное сопротивление с их стороны может быть смертельно опасным.

2. Молниеносная оценка. Вы должны понять, что важно для бизнеса, а также начать получать представление о том, почему все происходит именно таким образом, как происходит реально (в отношении технических решений и т.д.). Я не говорю здесь о какой-либо формальной оценке, и я, конечно, не говорю о "рисках". Это буквально очень быстрая прогулка по организации, чтобы увидеть, кто вокруг вас, что делают люди, и, что более важно, чем все остальное, что является действительно критичным для бизнеса. Если вам не удается это выяснить, то я советую вам сразу начать искать новую работу. Если бизнес не имеет твердого направления ("делать деньги" не является твердым направлением), то вы не сможете сделать свой вклад в успех этой организации. Кстати, в дополнение к определению того, что является критичным для бизнеса, вы также должны обращать внимание на огромные зияющие «дыры», которые требуют немедленного устранения.

3. Разделить обязанности, Обеспечить подотчетность. Безопасность должна быть общей задачей всех сотрудников организации. В этом заключается роль обучения и повышения осведомленности. Но я говорю здесь о чем-то более радикальном. Недостаточно просто рассказать людям о безопасности. Нужно, чтобы они были реально заинтересованы в том, чтобы критичные активы были защищены и могли быть быстро восстановлены, если случится что-то плохое. После этих инвестиций (в виде обучения) появляется рычаг для обеспечения подотчетности. И, увы, в это время бизнесу придется откатиться немного назад от опасного, излишне свободного подхода и потребуется обязать HR применять дисциплинарные меры (вплоть до увольнения) к сотрудникам, которые делают бестолковые или заведомо плохие вещи. Кажется, из-за этого мы потеряем некоторое преимущество в бизнесе, но это именно та область, которая поможет нам вернуть его обратно.

4. Не все "низковисящие плоды" равны. Очень велик соблазн, попав в новую ситуацию, сразу же браться за то, что вы лично хорошо знаете и можете сделать быстро и легко. К сожалению, это может быть совсем непригодно в общей схеме вещей (ну, может не совсем). Основываясь на результатах вашей молниеносной оценки (см. выше), вы должны уже знать, что действительно важно для бизнеса. Исходя из этого, вы получаете возможность сконцентрироваться на том, насколько хорошо защищены эти важнейшие активы сейчас. Именно здесь нужно искать свои "низковисящие плоды". Очевидно, что в это время следует вспомнить также про те замеченные ранее зияющие «дыры», которые являются столь вопиющими, что их необходимо немедленно устранять.

5. Борьба за упрощение. Одной из самых больших сложностей при работе «с нуля» - это удержать себя «на земле». Так просто перегрузить себя, увидев список всего того, что нужно сделать. Именно поэтому я рекомендую на предыдущих шагах заставить себя найти действительно важные системы, а затем практически полностью сконцентрироваться на них. Можно утверждать, что такой подход может быть опасен, и это абсолютно верно. Долгосрочное фокусирование на отдельных узких частях предприятия – это неправильный подход. Мы рассматриваем сейчас этот урезанный подход только как подходящий для того, чтобы начать работу, а не для долгосрочной стратегии. В какой-то момент вы должны посмотреть на картину в целом. НО… вы не сможете реально сделать ничего действительно существенного, пока не будут созданы основы, набран некий политический вес, который затем можно будет свободно использовать на что-то большее и лучшее.

6. Документирование и Процессы. Одна из вещей, которую вы наверняка держите на вооружении, это способность генерировать документацию. Приведет ли это к чему-нибудь реальному – это другой вопрос, но это, по крайней мере, та вещь, которую вы можете – и, безусловно, должны – применять. Вам следует документировать выявленные вами факты, ваши планы на ближайшее будущее, ваши идеи, ваши "низковисящие плоды", ваши важные выводы в отношении бизнеса и т.д. Другая часть очень полезной документации относится к процессам. Лучше всего начать с документирования того, что люди делают сегодня, а затем предлагать дополнительные улучшения для лучшей формализации и стандартизации этой работы. Аналогично, если ничего не делается формально (например, управление изменениями), вы можете разработать основные процессы, чтобы сформировать фундамент (официальные записи, официальное утверждение, бумажные свидетельства), а затем вы можете пойти по пути постепенных улучшений (по мере необходимости). Ключевым здесь является а) начать писать документацию, начиная с первого дня, б) постоянно помнить про разницу между описанием процесса и следованием описанному процессу.

7. Стратегия. Все хотят стратегию, но многие ли реально используют ее? Серьезно. Безопасность исторически имела реактивный характер. Есть много проактивных вещей, которые помогут снизить некоторые угрозы, но в общей схеме вещей может быть очень сложно предпринимать проактивные усилия, пока у вас нет базисов, относительно которых вы будете измерять успех. Тем не менее, вам потребуется общая картина в какой-то момент (желательно, чтобы не раньше, чем через 6 месяцев после начала вашей работы). Важная роль стратегии заключается в том, что она рассматривает организацию в целом, но она неприменима, пока вы работаете с краткосрочными вопросами, направленными на поддержку критичных ресурсов. Вам потребуется в определенный момент взглянуть на все в целом, поскольку наличие слабых звеньев может привести опаснейшим атакам. Ваша стратегия должна также установить уровень допустимого простоя, прерывания и потери данных. Мы говорим о том, что при первоначальной оценке следует рассматривать только критические ресурсы, а уже потом расширять этот круг, обсуждая с руководством, с чем они готовы мириться в определенных областях. Это поможет вам установить общие приоритеты на долгосрочную перспективу. Это поможет вам определить минимально необходимый уровень защищенности и восстанавливаемости.

7 комментариев:

  1. буду цитировать, твои же цитаты:))

    >> 1. Получите реальную поддержку руководства

    А разве при трудоустройстве на работу в качестве CISO Вы эту поддержку не получили? Слова "сделайте так, чтобы было все хорошо и с минимальным бюджетом" - это реальная, первоначальная поддержка руководства.

    >> 2. Молниеносная оценка

    =))) ну да, конечно....

    >> 3.... Безопасность должна быть общей задачей всех сотрудников организации.

    И это самое сложное!

    >> 4. Не все "низковисящие плоды" равны ---> ранее зияющие «дыры», которые являются столь вопиющими, что их необходимо немедленно устранять.

    "Никто всерьез не будет обещать вам «развязанных рук» и позволять делать «что вы хотите». Реальность такова, что бизнес уже существовал до вашего прихода, и, вероятно, сможет существовать и без вас в будущем, по крайней мере, в глубине души они будут считать именно так."

    Мой вижен на эту тему. Рассуждать абстрактно "о безопасности с нуля" без учета размеров компании и рода ее деятельности, как минимум нецелесообразно. "Безопасность с нуля" будет очень сильно отличаться для компании с 10-тью сотрудниками и с 1.000. Я полагаю, что в случае, когда компания состоит из 50-100 и более филиалов провести "Молниеносную оценку" путем "быстрой прогулки по организации" будет несколько затруднительным.

    ОтветитьУдалить
  2. Дмитрий, спасибо за комментарий! А то мой монолог в этом блоге несколько затянулся :)

    1. Про поддержку руководства.
    >> "сделайте так, чтобы было все
    >> хорошо и с минимальным
    >> бюджетом" - это реальная,
    >> первоначальная поддержка
    >> руководства.

    Ага, в большинстве случаев так и есть. Уже успел "обжечься" на этом сам, знаком и с другими "потерпевшими" :)
    Теперь я три раза подумаю, прежде чем согласиться работать в компании, которая предлагает такую "поддержку"... Нужно искать истинные мотивы, которые подвигли эту компанию пригласить на работу CISO. А если их нет - лучше сразу искать другую компанию. Этой пока хватит антивирусов, которые расставят ИТ-шники ;)

    2. Про "молниеносную оценку".
    Термин кривоват, конечно... перевел буквально. Но идея здесь, насколько я понял, была как раз в том, чтобы выяснить те самые мотивы, ради которых компании понадобилась Служба ИБ. Увы, на поверхности они находятся крайне редко, но найти их можно. В этом пункте как раз приводится один из вариантов - "как". Не понял, чего тебе собственно не понравилось?

    3. Про общую задачу безопасности для всех.
    Сложно. Согласен. Но кто обещал, что будет легко? :) Тут вот и нужна настоящая поддержка руководства, а не "красиво и дешево". Иначе все по-любому рано или поздно закончится "пшиком".

    4. Про низковисящие плоды.
    Ты снова изволил говорить загадками :) Тут идея автора была в том, что не нужно браться за абы что, а за вполне конкретные и действительно нужные вещи.

    >> Мой вижен на эту тему.
    >> Рассуждать абстрактно "о
    >> безопасности с нуля" без учета
    >> размеров компании и рода ее
    >> деятельности, как минимум
    >> нецелесообразно. "Безопасность
    >> с нуля" будет очень сильно
    >> отличаться для компании с
    >> 10-тью сотрудниками и с 1.000.

    Тут ты, безусловно прав. Но тут можно сделать обоснованное предположение, которое позволит понять, о каких компаниях ведет речь автор :) Отдельный безопасник в компании из 10 человек - имхо, нонсенс. Из 100 человек - имхо, тоже. Мне кажется, что речь о безопаснике зайдет в компании, размером никак не меньше 300-500 человек. С другой стороны, в крупном бизнесе, в котором работают несколько тысяч человек вряд ли речь пойдет о безопасности "с нуля", там наверняка что-то уже есть. Т.е. мы говорим о средней компании со штатом от 300 до 2000 человек. Как-то так...
    Что касается отрасли. Мне кажется, что на нулевом уровне развития безопасности большой разницы не будет. Хотя могу ошибаться, я нигде кроме банков не работал.

    >> Я полагаю, что в случае, когда
    >> компания состоит из 50-100 и
    >> более филиалов провести
    >> "Молниеносную оценку" путем
    >> "быстрой прогулки по
    >> организации" будет несколько
    >> затруднительным.

    Согласен, но... видимо тут нужен опыт "молниеносных оценок" :) Нужно точно знать, что хочешь увидеть, тогда необходимым объемом времени можно управлять.

    ОтветитьУдалить
  3. В отношении "молниеносных оценок"... Вспомнился интересный пример из ревизорского прошлого. Мы ездили по филиалам одного банка с внутренними комплексными проверками. Был у нас один товарищ, проверял кредиты. У него была выработана своя методика проверки, которая позволяла ему выделять самое главное и расставлять приоритеты, в результате он мог проверять кредиты хоть день, хоть месяц. И выполнить при этом все пункты своей программы проверки. Приезжая в филиал, он делал выписку по нескольким определенным счетам, брал несколько определенных отчетов и в результате уже через час (независимо от размера филиала, они были очень разные) он знал, какие кредиты нужно проверить. Об эффективности такого способа можно спорить (проверялись только результаты, а не процессы), но в тех условиях он работал отлично.
    Вот и здесь нужен некий похожий метод.

    Что касается моего "вижена", он достаточно близок к "вижену" автора второго поста :) собственно поэтому я его и перевел. Еще хотелось показать разницу между "теорией" и "практикой". От себя могу добавить, что еще очень многое зависит от конкретных личностей руководителей компаний. Все-таки в большинстве российских компаний менеджмент наемный, и в процветании компании заинтересованный лишь косвенно. Многие наши менеджеры думают о своем процветании куда больше, чем о процветании компании... а в кризис многие еще и крепко держатся за стул, на который им удалось взобраться. Это тоже фактор, который нам нельзя не учитывать. В этой ситуации я предложил бы искать "союзников", желательно из тех, кто имеет реальный вес в компании. Это тоже разновидность "поддержки руководством", но в более коллективном варианте.

    ОтветитьУдалить
  4. >> В этой ситуации я предложил бы искать "союзников"

    Менеджмент, да и не только в информационной безопасности, очень сильно зависит от умения сходиться с людьми :)

    >> 2. Про "молниеносную оценку"…. Не понял, чего тебе собственно не понравилось?

    Просто зная, как в крупных компаниях за несколько лет не могут до конца провести оценку... термин "молниеносной оценки" режет глаз.

    >> 4. Про низковисящие плоды. …Ты снова изволил говорить загадками :) Тут идея автора была в том, что не нужно браться за абы что, а за вполне конкретные и действительно нужные вещи.

    Не всегда даже вполне конкретные и действительно нужные вещи в первое время позволят осуществить те, кто работали до прихода CISO. Только с ростом авторитета и числом "союзников" можно будет эффективно вносить изменения.

    >> Мне кажется, что речь о безопаснике зайдет в компании, размером никак не меньше 300-500 человек. С другой стороны, в крупном бизнесе, в котором работают несколько тысяч человек вряд ли речь пойдет о безопасности "с нуля", там наверняка что-то уже есть.

    Так и в компании из 300-500 также обязательно что-то есть:) Охранник у дверей стоит? Огнетушитель на стене висит? Антивирусы фрагментально используются? Даже, возможно Windows на рабочих местах ходит на Microsoft Update, чем не patch management? Т.е. какие-то процессы ИБ будут присутствовать в любом случае.

    >> Что касается отрасли. Мне кажется, что на нулевом уровне развития безопасности большой разницы не будет.

    Существенная разница. Сравнить, например, Госучреждение и молодую компанию, занимающуюся web-дизайном. В Госучреждении основная масса сотрудников – это люди, которым за 40 с мизерной зарплатой у которых в голове "картошка на огороде", а в дизайн-студии до 25 лет, например. Разница работы с людьми колоссальная получается. Продолжая мысль. В различных отраслях, компаниям необходимо соответствовать требованиям регуляторов. А ведь – это может быть основной причиной появления в ней CISO...

    ОтветитьУдалить
  5. >> Менеджмент, да и не только в
    >> информационной безопасности,
    >> очень сильно зависит от умения
    >> сходиться с людьми :)

    Абсолютно точно! :) Я бы, пожалуй, даже добавил, что успех вообще в любом деле очень сильно зависит от этого умения.

    >> Просто зная, как в крупных
    >> компаниях за несколько лет не
    >> могут до конца провести
    >> оценку... термин "молниеносной
    >> оценки" режет глаз.

    Может проблемы в "скоупе"? Или в цели? Как внутренний аудитор могу сказать, что в СВК очень редкая проверка/оценка длится более 1-2 месяцев...

    >> Не всегда даже вполне конкретные
    >> и действительно нужные вещи в
    >> первое время позволят
    >> осуществить те, кто работали до
    >> прихода CISO. Только с ростом
    >> авторитета и числом "союзников"
    >> можно будет эффективно вносить
    >> изменения.

    Отчасти соглашусь. Но тут есть еще одна сторона - на самом первом этапе "поддержка руководства" хотя бы минимальная, но будет (ну, конечно, если CISO приняли не на роль "козла отпущения" :)) И если грамотно использовать этот момент, и реализовать именно то, что смогут оценить именно эти "поддерживающие", возможно авторитет и союзников получить будет куда проще. Не нужно сразу же писать Политику ИБ на 100 страниц, не нужно отрубать интернет всем пользователям и отбирать администраторские права у ИТ-шников - вряд ли это оценят. Сделайте (хотя бы для руководства) доступ по смарт-картам (токенам) вместо паролей, организуйте проект по созданию безопасного удаленного доступа к сети - так больше шансов получить искреннее "спасибо" :) А параллельно можно продолжать свою немного затянувшуюся "молниеносную оценку" ;)

    >>>> Мне кажется, что речь о
    >>>> безопаснике зайдет в компании,
    >>>> размером никак не меньше 300-
    >>>> 500 человек. С другой стороны,
    >>>> в крупном бизнесе, в котором
    >>>> работают несколько тысяч
    >>>> человек вряд ли речь пойдет о
    >>>> безопасности "с нуля", там
    >>>> наверняка что-то уже есть.

    >> Так и в компании из 300-500
    >> также обязательно что-то есть:)
    >> Охранник у дверей стоит?
    >> Огнетушитель на стене висит?
    >> Антивирусы фрагментально
    >> используются? Даже, возможно
    >> Windows на рабочих местах ходит
    >> на Microsoft Update, чем не
    >> patch management? Т.е. какие-то
    >> процессы ИБ будут присутствовать
    >> в любом случае.

    Ну тут мы уже зашли в терминологию. Что понимается под словами "с нуля" :) Думаю, идея ясна.

    >>>> Что касается отрасли. Мне
    >>>> кажется, что на нулевом уровне
    >>>> развития безопасности большой
    >>>> разницы не будет.

    >> Существенная разница. Сравнить,
    >> например, Госучреждение и
    >> молодую компанию, занимающуюся
    >> web-дизайном. В Госучреждении
    >> основная масса сотрудников – это
    >> люди, которым за 40 с мизерной
    >> зарплатой у которых в голове
    >> "картошка на огороде", а в
    >> дизайн-студии до 25 лет,
    >> например. Разница работы с
    >> людьми колоссальная получается.
    >> Продолжая мысль. В различных
    >> отраслях, компаниям необходимо
    >> соответствовать требованиям
    >> регуляторов. А ведь – это может
    >> быть основной причиной появления
    >> в ней CISO...

    Про гос.учреждения я вообще не говорю, там действительно все не так. Только коммерческие организации.
    А в каких отраслях, кроме банковской, у нас есть ТРЕБОВАНИЯ регуляторов к ИБ (не считая ФЗ-152, перед которым все равны)? Даже в банковской отрасли требований по ИБ совсем чуть-чуть, одни рекомендации и "здравый смысл"...

    ОтветитьУдалить
  6. >> редкая проверка/оценка длится более 1-2 месяцев

    К слову, проверка должна быть непрерывной.

    >> Не нужно сразу же писать Политику ИБ на 100 страниц

    И не сразу тоже не стоит:) идеальная политика ИБ не превышает двух страниц…

    >> А в каких отраслях, кроме банковской, у нас есть ТРЕБОВАНИЯ регуляторов к ИБ

    К организациям исполнительной власти.

    ОтветитьУдалить
  7. >>>> редкая проверка/оценка длится
    >>>> более 1-2 месяцев

    >> К слову, проверка должна быть
    >> непрерывной.

    Это смотря какая. В СВК - нет. И та "молниеносная", о которой здесь идет речь - тоже нет.

    >>>> А в каких отраслях, кроме
    >>>> банковской, у нас есть
    >>>> ТРЕБОВАНИЯ регуляторов к ИБ

    >> К организациям исполнительной
    >> власти.

    Еще раз предлагаю остаться в рамках коммерческих организаций. Исполнительная власть у нас вроде пока официально коммерческой не считается :)

    ОтветитьУдалить