Комментарии 6
Удалось застать этап в МТС ИТ "Как была организована работа сервиса ИБ-архитектуры изначально". Пока кому-то из ТОПов это не стало нужно ничего не сдвигалось с мервой точки. Главная ценность была в том, что просто просто было это направление, чтобы было.
Спасибо, довольно много полезных практических подробностей - чужие грабли и результаты всегда очень интересны.
Мне не хватило графического представления как встроена ИТ-безопасность в общий архитектурный процесс. В общем-то, понятно, что любой кусок архитектуры, как и безопасность, сам по себе не должен жить.
Недавно посмотрел про архитектуру Спорт-мастера https://www.youtube.com/watch?v=Ao7xqs_oX9s , там стройно и в целом понятно показана логика работы архитекторов. Вот в примерно в таком бы виде, где и как ваша ИБ-архитектура живёт, было бы супер
Люблю такие статьи в духе "Как мы изначально сделали всё плохо, но собрались и сделали как надо"
Можно всё же про метрики и про взаимодействие?
Упомянуто вскользь, в стиле "делайте как надо, а как не надо не делайте". А вот за что собственно кто несёт ответственность, как то или иное измеряется - нету.
Допустим, есть у вас уже упомянутая продуктовая команда, сопротивление которой удалось "сломать". Как именно теперь происходит взаимодействие? Это же не что-то в стиле "ставьте заявку на оценку сроков анализа предварительной готовности" на "ответственного безопасника"? У вас же есть что-то типа упомянутого SLA на "предоставим предварительный отчёт в течении 72 часов"?
Взаимодействие с продуктами происходит через лидеров практик по архитектуре ИБ. Если ты про формат, то он индивидуальный в каждом конкретном случае – начиная от каналов связи, заканчивая частотой этого контакта. Обычно мы пытаемся в самом начале прощупать все нюансы (специфика продукта, скорость "бега" команды, масштаб продукта), чтобы выработать или подобрать удобный формат.
Касательно SLA – да, они у нас описаны отдельно по каждому процессу/активности по обеспечению продуктовой безопасности. На что-то хватает одного рабочего дня, на некоторые задачи закладываем и по 5.
Скорее всего я ошибаюсь, но моё личное мнение - вы не сделали процесс, а сделали заметочку "по вопросам А обращайтесь к Дмитрию, а по вопросам В - к Алёне".
Это на полном серьёзе отлично, без сарказма молодцы - когда понятно к кому обращаться это уже хорошо. Уход от безликого "отдела" к персональной ответственности - хорошая идея.
Увы, не имея каких-либо подробностей в силу собственного опыта мне так и рисуется в голове, что Алёна - уникальный специалист и в случае её ухода в отпуск надо перелопатить все "процессы" и инструкции, внеся правки. А после отпуска - обратно.
Как улучшить ИБ-архитектуру за счет процессов: опыт МТС