30.08.2011

Враг хорошего

В той арабеске я писал, что политика ИБ обязательно обманет ожидания, и почему. Однако, малоэффективная лучше никакой, так что иметь надо.

В отечественных правилах пользования метрополитенами есть забавное требование: в ожидании поезда распределяйся по платформе равномерно. Равномерно - это одинаковое количество пассажирского вещества в каждой точке платформы. Видимо, пассажиры для автора – масса: были бы единицами, написал бы "периодично". Или глуп.

Политику ИБ более всего портит равномерность.

Политика (если это именно политика, а не какой-то другой документ) должна содержать отношение руководства к тому и иному объекту защиты, той и иной группе угроз, той и иной стратегии обработки рисков... Предпочтения, относительные веса́ – вот что составляет ее главную ценность. Политика – это документ, в содержании которого присутствие руководства максимально. Нижерасположенные документы оно уже может "подмахивать" или кому-то делегировать их утверждение, а в политике должно присутствовать.
Политика должна говорить, например, что тайна бизнес-партнеров для организации дороже, чем ПДн клиентов. Что трафик не так жалко, как репутацию. Что перенос предпочтительнее снижения. Что А запрещено жестко, а Б не приветствуется. Что Иванов командует, а Петров только снаряды подносит.
"Говорить" – не совсем верное слово: это должно из нее следовать. Если что-то забыли, а чему-то уделили внимание аж два раза - это тоже подсказка, вес, ранжир.

К сожалению, безопасник делает политику ИБ техничной, гладенькой.
Даже если руководство действительно дало в нее какой-то живой акцент, то он восполняет пробелы, выравнивает.
И убивает.

Убитость политики пропорциональна профессионализму: хотите совершенно без страсти, плоскую, пригодную для вечного висения в рамочке – обратитесь к крутым консультантам.

Последний вывод. Если хорошая политика – это кривая политика, то не стоит тырить чужие или выменивать на коньяк. Это ведь очевидно теперь?

Продолжение запланировано.

3 комментария:

securityinform комментирует...

Ваш бы этот пост - да каждому безопаснику в рамочку на стену:)

Ригель комментирует...

Для рамочки линейнее надо ))

PSV комментирует...

Информационная безопасность вообще сродни искусству...

Отправить комментарий