• Фундаментальные законы информационной безопасности
    +1
    Ещё предлагается — закон «профессионализма». В общем название можно обсудить.
    Закон действует не только в информационной безопасности, но и в ИТ, и в других сферах то же, но к сожалению в ИБ довольно часто.
    «Уровень безопасности системы зависит от уровня строящих и обслуживающих её специалистов.»
    К сожалению в сфере информационной безопасности, есть очень много проходимцев, лентяев, кумовства. Слишком часто в информационную безопасность приходят люди из спецслужб, которые и в спецслужбах занимались не информационной безопасностью, а чем то другим. И хорошо если этот индивид будет достаточно умён чтобы пригласить себе в команду нормальных спецов, и не будет им мешать, так нет зачастую, он и в команду набирает таких же бездарей как и сам. Эти люди не только не знают, но и учиться не желают.
    Этот закон вступает с утверждением что бизнес не понимает, не даёт. Зачастую бизнес понимает и даёт, а горе специалисты всё сводят к нулю. Оценивали тут успешность проектов ИБ в одной довольно крупной организации, оказалось что многие проекты выполнены плохо, а многие не выполнены совсем.
    Отсюда же в свою очередь растёт и нежелание бизнеса в финансировании ИБ, а то деньги тратятся, а инцидентов меньше не становится. Получается так: за отчётный период из-за проблем с ИБ было потеряно 1 мешок денег. Было принято решение улучшить систему, потрачено 1 мешок денег. За второй период из-за проблем с ИБ был потерян ещё один мешок денег. Итого общие потери за второй период — 2 мешка денег. И когда это продолжается из года в год, какие претензии к бизнесу?