Про бессмысленные доклады и экспертов оторванных от реальной жизни

Про бессмысленные доклады и экспертов оторванных от реальной жизни

Послушал очередную презентацию про регулирование информационной безопасности в России. Слушал долго и скучал.

Вопрос, а в чем прагматичный смысл слушать о существовании полусотни документов и тысяч отдельных требований?

Если представить себе компанию, которая выполнила все требования, то она должна сидеть в бункере, без интернета и не может ничего производить, ибо опасно. Вот, слушатели узнали, что есть +100500 требований, и что компания все на свете нарушает. Что дальше?

Ответ простой — ничего.

Будут работать, как работают.

О чем вообще говорит докладчик? Чего пытается донести? Что все вокруг нарушители и много чего нарушают? Так это и без него понятно.

В таких «исследованиях» отсутствует хоть какая-то приоритизация требований. Ведь совершенно очевидно, что разные требования имеют разную критичность для организации.

Теперь по делу. За последний год мы в RTM Group проанализировали гигантское количество документов и отсмотрели тысячи практических кейсов по их применению. Из всего объема требований, реально хоть как-то работает 4-8% (в зависимости от профиля организации). От выполнения этих требований исходит 95% всех нормативных (читай правовых и не только) рисков. Причем моя практика однозначно подтверждает, что та сила с которой может «прилететь» от нескольких очень старых и много лет не обсуждаемых требований, может запросто привести к прекращению деятельности организации. Я уже молчу про последствия для ИТ и ИБ специалистов, на которых потом менеджмент покажет пальцем, при поиске виноватых. Про правовые последствия для коллег я часто рассказываю в своих докладах. Не дай Бог попасть под каток правоохранителей, они будут делать свое дело, а вы не будете спать по ночам.

Замечу, что наши профильные требования по ИБ очень тесно завязаны, на массу смежных областей и тем: проблематику интеллектуальной собственности, банковскую деятельность, проблемы частной собственности, налоги и много что еще. Короче говоря, завалить специалистов тысячами требований и сказать, что все  это надо делать, это прекрасно и снимает любую ответственность, из принципа – «ну я же сказал». Но реальная жизнь — это работа с рисками и очень часто имеет смысл не выполнять целые группы модных требований, а сосредоточится на чем-то старом скучном, но очень важном.


Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации