Существует такой термин, как "вопросы-айсбрейкеры" (от англ. «to break the ice» — «расколоть лед»), которые помогают начать разговор с незнакомыми людьми.
С точки зрения ИБ можно тоже придумать (вспомнить) такие вопросы, которые помогают завести беседу с коллегами на профессиональных конференциях и понять их основные задачи, потребности и общий уровень ИБ компании. Они также будут хороши для установочных встреч перед аудитами ИБ, чтобы сразу понимать, чего стоит ожидать...
Вот мой перечень:
- Сколько человек в подразделении ИБ, кому подчиняется?
- Имеется ли перечень критичных ИС и в каком виде?
- Сколько документов регламентируют ИБ, где охраняться актуальные версии, как часто пересматриваются?
- Используются ли мобильные устройства для работы, как они защищаются?
- Каким образом регламентируется и контролируется использование съемных носителей?
- Что с правами администратора для рядовых пользователей?
- Каким образом пересматриваются и изменяются права доступа пользователей к ИС?
- Есть ли SIEM, кто настраивает правила корреляции?
- Кто проводит сканирование уязвимостей, как часто, каким средством?
- Где и как фиксируются инциденты ИБ?
- Насколько выполняете требования Приказа 21?
- Какие грифы конфиденциальности проставляются на документах?
- Проводились ли проверки регуляторами и каковы их итоги?
- Каким образом проводится обучение и повышение осведомлённости пользователей?
- Какие крупные инциденты ИБ происходили за последние пару лет?
- Начали ли что-то делать по теме импортозамещения?
- Что запланировано по ИБ на этот и следующий год?
Про что не люблю спрашивать:
- про политику ИБ
- про внутренние аудиты/контроль
- про риски/угрозы
- про перечень информации ограниченного доступа
- про АВЗ
- про измерения ИБ
- подробно про ПДн (вопроса про Приказ 21 вполне достаточно)
Обычно ответы по этим темам бывает очень длинными и неконкретными, практически не дают полезной информации...
Вот как-то так. Дополнительных комментариев писать не буду. Не удобно, временно нет доступа к своему ноутбуку, набирал этот текст на iPhone.
А какой перечень вопросов есть в вашем арсенале?