08.06.2011

Лечился по справочнику – умер от опечатки

Буду ИБ-шников обижать, а то в запрошедший раз вышло, будто алогичность – прерогатива ребят ЗИ-шных взглядов.

Зиждется у них все на слове, которое в начале, у Бога, и Бог, что не копипаста галимая, а использование одной из хорошо себя зарекомендовавших практик.
Называется это дело политикой ИБ и все напрочь обеспечивает в случае исходчивости от топа и доходчивости до каждого.

Так их прямо и учат: все будет хорошо, если политика понятная и до всех доведена, а если нет, то ховайся – ничего в этой конторе не выйдет.
Многие верят и очень на эту тему усираются.

Вы ведь правда не прочли "понятна & доведена" как "все будут знать & выполнять"?
Об этом я обычно и сообщаю.
Следуют напряженная работа памяти и "Не-е-ет, это она все-таки непонятно написана! А надлежащим образом ведь не доведена, а должна же быть доведена же!".
Потому что так в книге.

Ребята, в книгах иной раз пропущено то, что дети в саду знают.
Цифры от балды, исследований мне таких не заказывали, у кого внутреннее ощущение иное, пишет альтернативные на бумажке. Минусуем:
- 8 % блатных и/или неуловимых, за которых закорючку кто-то поставил;
- 12 %, которые ничего не поняли, несмотря на доступность ежу, в т.ч. 9 % сделавших вид, что поняли;
- 14 % сделавших вид, что читают;
- 23 %, которые усвоили, но соблюдать не будут из лени;
- 7 %, которые усвоили, но соблюдать не будут злонамеренно;
- 16%, которые все поняли, глубоко согласны, но тут же забыли;
и остаются 20%, которые забывать будут плавно, но уверенно.

Вот и выходит, что даже у самой лучшей-прелучшей политики (ежовая понятность и поголовное доведение) пиковый КПД хуже паровой машины.

Что с этим делать? Для начала – жить дальше.
Если в используемой книжке помимо политики есть и другие "контролы", их реализация эти минусовые группы подтянет: кто-то что-то доберет через демонстрацию приверженности руководства, кто-то при обучении, кто-то при внутреннем аудите, кто-то при санкциях за нарушения и т.п.
В принципе, все это должно дать какой-то приемлемый уровень знания, дальше уже каждый процент в каждой группе за отдельные деньги, если хочется.
И в одиночку ни одна из мер не панацея – ее можно точно так же по минусам расписать. Приверженность руководства? А злодеев никто не отменял. Экзамен? Я вон в пятницу очередную охрану труда сдал, к субботе уже ничего не помнил.

В-общем, не воспринимайте книжки слишком серьезно - отдаляет от реальности.

з.ы. Можно ли пруфлинк про детский сад? Можно.

19 комментариев:

Артем Аветян комментирует...

Отсюда и вывод: "безопасность не продается"...

Alexey Volkov комментирует...

Не, братка, политика Политике - рознь. Мою почитай - скину, мыло на мыло пришлите.

Ригель комментирует...

Алексею:
Про содержание я как-нибудь отдельно напишу, там и обсудим. А тут вроде как допущение, что политика некая абсолютно идеальная.

Артему:
Но можно рукопись продать ;)

Alexey Volkov комментирует...

Ригель, так и не должна быть она идеальная. И не для наказания сотрудников она пишется - я вообще не понимаю, по кой леший некоторые ибзишники сотрудников с ней знакомят под роспись. Политика - это путеводитель. Столб с указателями того, чем контора может похвастаться по ИБЗИ, и где дальше глядеть раскрытие темы. А как может быть идеальным столб? Ну гладкий он, ну позолотой покрыт... Толку? Был бы лишь бы.

Ригель комментирует...

В этом постинге воображаемый противник имел менее здравый взгляд на политику ИБ ))

Alexey Volkov комментирует...

Как и в жизни :) Я там у себя про книгу откамментил вчерашнего дня койчего. Жду полета мысли ;)

Alexey Volkov комментирует...

Да, ну и про «понятна и доведена». Это ведь совсем не синоним «понята и заучена наизусть под роспись». Это значит что она должна быть простой и болтаться у всех на обозрении постоянно. В той прадигме что я писал выше КПД обеспечен. Но только в комплексе. Политика для людей, а не для безопасников. Как коллективный трудовой договор, но по ИБ.

Ригель комментирует...

Алексей, начинаем в богатстве русского языка блуждать - простая/понятная, доведенная/доступная...
_какой_ бы не была политика ИБ, знают ее хуже, чем ожидается

Alexey Volkov комментирует...

Вопрос в том, а нужно ли прям такое поголовное знание этого ДОКУМЕНТА, что оно дает заказчику? Ведь под политикой в книге понимается не документ "политика", а свод правил и процедур "политика", необходимых и достаточных для каждого лица в соответствии с его должностными обязанностями. И рядовому пользователю весь этот свод побоку - он прежде всего не должен вякать на то, что система не дает ему назначить простой пароль, а руководитель (НЕ ИБЗИШНИК) обязательно (!) выпорет его за приклеивание бумажки с паролем на монитор. Для руководителя обязанности поширше - тот еще должен за подчиненными следить. А ИБЗИшник - он как нудота должен быть: постоянно гундосить про ИБЗИ, капать на мозги, выносить их, лишь бы все понимали...

Alexey Volkov комментирует...

ЗЫ обязанности юзера конечно немного пошире чем соблюдение пассворд полиси - это я так, к примеру. Однако пользователи - самая многочисленная династия, и при правильном раскладе всей ИБЗИ в конторе все требования, которые они должны соблюдать, будут им ненавязчиво навязаны самой СУИБ. Задача ИБЗИшника - проводить разъяснительную работу почему так а не иначе, объяснять, разжевывать. А не тупо "запрещено и пипец". Повернуться надо к людям лицом а не бэкэндом файрволла. Вот когда это будет сделано - тогда и дело пойдет. И результаты user sec pol knowledge survey будут потрясающие (кстати, его рекомендуется пару раз в год проводить среди случайной выборки).

Alexey Volkov комментирует...

И если "юзеры тупые не знают нихера" - то ИБЗИшнику, имхо, не надо дальше жить. Надо что-то менять в себе.

Ригель комментирует...

Я тоже считаю, что особо усираться по поводу политики не нужно.

Alexey Volkov комментирует...

Эт я понял и поддерживаю :)

(_DeV1L_) комментирует...
Этот комментарий был удален автором.
(_DeV1L_) комментирует...

А я думал, что политика — это:
1. Документ который показывают регуляторам при проверке (формально должен быть).
2. Кратенькое обоснование всех направлений деятельности по ИБ: типа, обеспечение бесперебойной работы — хотим то-то, нужно делать то-то. А дальше отдельными положениями, инструкциями и т.п. всё раскрывается.
3. Распределение ответственности на самом верхнем уровне: начальники отделов обеспечивают то-то, контроль за теми-то.

Доводим под роспись до всех начальников структурных подразделений.
А под роспись всем сотрудникам ИМХО маразм.

(_DeV1L_) комментирует...

"Алексей Волков комментирует...
Не, братка, политика Политике - рознь. Мою почитай - скину"
А мне можно? Поделитесь опытом с молодым поколением.

Ригель комментирует...

(_DeV1L_), Вы правы: у политики есть свои функции, ничем не дублируемые. КПД не надо (в разы) переоценивать, но без нее никуда.

Any User Ch комментирует...

"(_DeV1L_) комментирует...
"Алексей Волков комментирует...
Не, братка, политика Политике - рознь. Мою почитай - скину"
А мне можно? Поделитесь опытом с молодым поколением."
Если можно и мне на мыло.
Спасибо!

Alexey Volkov комментирует...

Так скиньте ваши мылы мне на мыло.

Отправить комментарий