Кто давно занимается ИБ, тот знает, что бывают несоответствия и инциденты. И даже, возможно, что инциденты бывают разной степени тяжести, а их названия обратны ИТ-шной практике. Но это нам во второй раз не интересно.
Несоответствие – это расхождение между писаным требованием и реализацией. Ходит себе внутренний аудитор с внутренними себе аудитами и записывает: "не стоят критические патчи за три месяца, а по регламенту можно за один – несоответствие", "не назначен ответственный за хранение резервных лент, а по закону нужно было еще в июле – несоответствие", "ограничительный гриф нанесен на сантиметр левее, чем в утвержденном образце – несоответствие". Кстати, многие для несоответствий тоже заводят шкалу: мажорное/минорное или крутое/реальное/галимое, добавляют также отдельную оценку для похвальных несоответствий, отклонений в лучшую сторону.
Инциденты – это происшествия, которые повлекли ущерб или чуть было не повлекли. Выплыл, например, какой-то прошлогодний бэкап на черном рынке. Они могут иметь под собой почвой несоответствие, а могут и не иметь: может, было какое-то требование, несоблюдение которого как раз привело (так и не назначили ответственного за ленты, который бы знал, что спросят конкретно с него), а может, реализовалась угроза, которую недооценили или не рассматривали (сказалось отсутствие охраны в ночное время).
Писавшие 152-ой ФЗ и 781-ое ПП оперируют только одной сущностью - нарушениями. Если так посмотреть, то и несоответствие – нарушение (установленных правил обработки и/или защиты), и инцидент – нарушение (как минимум, обязанности оператора принимать необходимые и достаточные меры). А для нарушений положена процедура разбирательства. По которой у Вас пойдут и всплытие прошлогоднего бэкапа на черном рынке, и смена пароля раз в 65 дней вместо 60, и нанесение ограничительного грифа на сантиметр левее, чем в утвержденном образце.
Теоретически, ничто не мешает иметь хоть десять процедур для разных типов нарушений. Но если в законе явно не написано, у всех будет одна.
Несоответствие – это расхождение между писаным требованием и реализацией. Ходит себе внутренний аудитор с внутренними себе аудитами и записывает: "не стоят критические патчи за три месяца, а по регламенту можно за один – несоответствие", "не назначен ответственный за хранение резервных лент, а по закону нужно было еще в июле – несоответствие", "ограничительный гриф нанесен на сантиметр левее, чем в утвержденном образце – несоответствие". Кстати, многие для несоответствий тоже заводят шкалу: мажорное/минорное или крутое/реальное/галимое, добавляют также отдельную оценку для похвальных несоответствий, отклонений в лучшую сторону.
Инциденты – это происшествия, которые повлекли ущерб или чуть было не повлекли. Выплыл, например, какой-то прошлогодний бэкап на черном рынке. Они могут иметь под собой почвой несоответствие, а могут и не иметь: может, было какое-то требование, несоблюдение которого как раз привело (так и не назначили ответственного за ленты, который бы знал, что спросят конкретно с него), а может, реализовалась угроза, которую недооценили или не рассматривали (сказалось отсутствие охраны в ночное время).
Писавшие 152-ой ФЗ и 781-ое ПП оперируют только одной сущностью - нарушениями. Если так посмотреть, то и несоответствие – нарушение (установленных правил обработки и/или защиты), и инцидент – нарушение (как минимум, обязанности оператора принимать необходимые и достаточные меры). А для нарушений положена процедура разбирательства. По которой у Вас пойдут и всплытие прошлогоднего бэкапа на черном рынке, и смена пароля раз в 65 дней вместо 60, и нанесение ограничительного грифа на сантиметр левее, чем в утвержденном образце.
Теоретически, ничто не мешает иметь хоть десять процедур для разных типов нарушений. Но если в законе явно не написано, у всех будет одна.
Комментариев нет:
Отправить комментарий