Положим, произошла утечка. Однако информационная система, из которой утекло, оказалась сертифицированной на соответствие неким требованиям безопасности. Кто виноват? Почему так вышло?
Вариант первый: сертификат – туфта, получен за взятку. Вариант второй: сертификатор – шарлатан, не проверил всё, что нужно. Возможен, однако, и третий: требования неадекватны, их исполнение не помогает защититься.
Если встанет вопрос о поиске виновного, то предстоят разборки между тремя субъектами: владельцем ИС, сертифицирующим органом (или кто там реально проводил проверку) и нормотворцом. Каждый из них постарается запутать ситуацию в свою пользу. На непредвзятое расследование надежды мало.
Парадоксально, но здесь может помочь безответственность. Если создатель стандарта, приказа, РД, иного предписывающего документа не несёт ответственности за свою работу, он может выступить арбитром. И исправить то, что послужило причиной инцидента: плохой документ, плохую сертификацию или плохую эксплуатацию.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Умеешь в ИБ?
Делись! Ближайший CIRF* уже 20 мая. Мероприятие бесплатное, но надо зарегистрироваться*
