Послушал очередную презентацию про регулирование информационной безопасности в России. Слушал долго и скучал.
Вопрос, а в чем прагматичный смысл слушать о существовании полусотни документов и тысяч отдельных требований?
Если представить себе компанию, которая выполнила все требования, то она должна сидеть в бункере, без интернета и не может ничего производить, ибо опасно. Вот, слушатели узнали, что есть +100500 требований, и что компания все на свете нарушает. Что дальше?
Ответ простой — ничего.
Будут работать, как работают.
О чем вообще говорит докладчик? Чего пытается донести? Что все вокруг нарушители и много чего нарушают? Так это и без него понятно.
В таких «исследованиях» отсутствует хоть какая-то приоритизация требований. Ведь совершенно очевидно, что разные требования имеют разную критичность для организации.
Теперь по делу. За последний год мы в RTM Group проанализировали гигантское количество документов и отсмотрели тысячи практических кейсов по их применению. Из всего объема требований, реально хоть как-то работает 4-8% (в зависимости от профиля организации). От выполнения этих требований исходит 95% всех нормативных (читай правовых и не только) рисков. Причем моя практика однозначно подтверждает, что та сила с которой может «прилететь» от нескольких очень старых и много лет не обсуждаемых требований, может запросто привести к прекращению деятельности организации. Я уже молчу про последствия для ИТ и ИБ специалистов, на которых потом менеджмент покажет пальцем, при поиске виноватых. Про правовые последствия для коллег я часто рассказываю в своих докладах. Не дай Бог попасть под каток правоохранителей, они будут делать свое дело, а вы не будете спать по ночам.
Замечу, что наши профильные требования по ИБ очень тесно завязаны, на массу смежных областей и тем: проблематику интеллектуальной собственности, банковскую деятельность, проблемы частной собственности, налоги и много что еще. Короче говоря, завалить специалистов тысячами требований и сказать, что все это надо делать, это прекрасно и снимает любую ответственность, из принципа – «ну я же сказал». Но реальная жизнь — это работа с рисками и очень часто имеет смысл не выполнять целые группы модных требований, а сосредоточится на чем-то старом скучном, но очень важном.