Ломаем лёд при общении с ИБшниками

Ломаем лёд при общении с ИБшниками
Существует такой термин, как "вопросы-айсбрейкеры" (от англ. «to break the ice» — «расколоть лед»), которые помогают начать разговор с незнакомыми людьми. 

С точки зрения ИБ можно тоже придумать (вспомнить) такие вопросы, которые помогают завести беседу с коллегами на профессиональных конференциях и понять их основные задачи, потребности и общий уровень ИБ компании. Они также будут хороши для установочных встреч перед аудитами ИБ, чтобы сразу понимать, чего стоит ожидать...

Вот мой перечень:
- Сколько человек в подразделении ИБ, кому подчиняется?
- Имеется ли перечень критичных ИС и в каком виде?
- Сколько документов регламентируют ИБ, где охраняться актуальные версии, как часто пересматриваются?
- Используются ли мобильные устройства для работы, как они защищаются?
- Каким образом регламентируется и контролируется использование съемных носителей?
- Что с правами администратора для рядовых пользователей?
- Каким образом пересматриваются и изменяются права доступа пользователей к ИС?
- Есть ли SIEM, кто настраивает правила корреляции?
- Кто проводит сканирование уязвимостей, как часто, каким средством?
- Где и как фиксируются инциденты ИБ?
- Насколько выполняете требования Приказа 21?
- Какие грифы конфиденциальности проставляются на документах?
- Проводились ли проверки регуляторами и каковы их итоги?
- Каким образом проводится обучение и повышение осведомлённости пользователей?
- Какие крупные инциденты ИБ происходили за последние пару лет?
- Начали ли что-то делать по теме импортозамещения? 
- Что запланировано по ИБ на этот и следующий год?

Про что не люблю спрашивать:
- про политику ИБ
- про внутренние аудиты/контроль
- про риски/угрозы
- про перечень информации ограниченного доступа
- про АВЗ 
- про измерения ИБ 
- подробно про ПДн (вопроса про Приказ 21 вполне достаточно)
Обычно ответы по этим темам бывает очень длинными и неконкретными, практически не дают полезной информации...

Вот как-то так. Дополнительных комментариев писать не буду. Не удобно, временно нет доступа к своему ноутбуку, набирал этот текст на iPhone.

А какой перечень вопросов есть в вашем арсенале?
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину

Andrey Prozorov

Информационная безопасность в России и мире