На текущий момент, как это ни прискорбно, информационная безопасность для нашей страны — это чаще всего модная вещь, с не совсем понятным назначением. Для руководства, в основном, это бездонная дыра для финансирования, от которой нет отдачи, кроме слов: всё под контролем. Для сотрудников — какие-то странные люди, запрещающие пароли на бумажках записывать.
Исходя из этого непонимания складывается и все проблемы ИБ в организациях и, собственно, организации самой информационной безопасности.
Доброго времени суток, уважаемые!
Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.
Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план.
К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).
Я продолжаю публикацию статей из практики по информационной безопасности.
В этот раз речь пойдёт о такой важной составляющей, как инциденты безопасности. Работа с инцидентами займёт львиную долю времени после установления режима информационной безопасности (приняты документы, установлена и настроена техническая часть, проведены первые тренинги).
Информационная безопасность — это на 90% работа с людьми.
Фразу выше я не устану повторять никогда. Какой бы технически совершенной ни была ваша система безопасности, как бы безупречно и чётко ни была бы выстроена система управления ИБ, всегда есть человеческий фактор. Люди отвлекаются, забывают, «забивают» или просто игнорируют какие-то правила и порядки.
Под хабракатом я опишу довольно действенный способ снизить процент инцидентов связанных с человеческим фактором.
Недавно пришлось столкнуться с одним локальным интегратором в части работ по ФЗ-152 и в общем по защите информации. Целесообразность для нашей небольшой конторы, описывать не буду (я бы сделал это в одиночку, разве что чуть дольше, но на порядок дешевле), так как к времени начала моей работы в нашей организации вопрос о работе с этим интегратором был решен и я мог только наблюдать и пожинать результаты.
О результатах и размышлениях, «почему оно так», под хабракатом.