3. Bottom-up approach, при котором правила ИБ определяют (предлагают) сотрудники подразделений (ИТ, ИБ, безопасности и т.д.) без согласования с руководством компании, всегда менее эффективен.
4.
5. Даже если “к вам уже пришли” с предписанием об устранении недостатков, составьте сначала план исправления. Исключения составляют предписания выполнения конкретных действий (типа “немедленно уничтожить”, “заменить сегодня” и т.п.), но даже при их выполнении изменениями необходимо управлять (санкционировать, фиксировать, проверять и т.д.). Безопасность – это процесс, а не продукт!
17. План мероприятий по обеспечению ИБ должен содержать описание операционной деятельности по обеспечению ИБ (ежедневные задачи ), перечень мероприятий по достижению тактических (0,5-1 год) и стратегических целей бизнеса, спроецированных на цели ИБ.
18.
19. Если в компании есть подразделение риск-менеджмента, которое в состоянии провести оценку операционных рисков, в т.ч. рисков ИБ (в России – большая редкость), то оценку рисков проводит это подразделение, иначе оценку выполняет сотрудник, ответственный за обеспечение ИБ.
20. Необходимые для оценки рисков данные о бизнес-процессах (описание, степень критичности), участвующих в них активах (описание, ценность), допустимых уровнях риска должно предоставить руководство компании или лица, которым руководство делегировало управление отдельными бизнес-процессами.
21.
22. Выбор поставщиков и исполнителей в области ИБ Профессор Деминг еще полвека назад сформулировал свои 14 принципов , которые легли в основу серии ISO 9000 (Менеджмент качества). 4-й, из этих принципов, гласит: «Покончите с практикой закупок по самой низкой цене. Вместо этого, наряду с ценой, требуйте серьезных подтверждений ее качества. Уменьшите число поставщиков одного и того же продукта путем отказа от услуг тех из них, кто не смог статистически подтвердить его качество. Стремитесь к тому, чтобы получать все поставки данного компонента только от одного производителя, на основе установления долговременных отношений взаимной лояльности и доверия. Целью в этом случае является минимизация общих затрат, а не только первоначальных». Общие затраты – это не только стоимость товара/услуги, а еще и затраты на контроль, на исправление дефектов, плюс разнообразные риски (в т.ч. риски нарушения конфиденциальности, целостности и доступности информации в связи с действиями поставщиков и исполнителей).
23. Выбор поставщиков и исполнителей в области ИБ Наш ФЗ №94 «О госзакупках», который взят за основу регламентов проведения тендеров и конкурсов во многих коммерческих организациях, сводится к необходимости закупок по самой низкой цене. Даже если речь идет о технически сложных товарах или услугах, где при оценке претендентов учитывается цена, качество, сроки и т. п., цена все равно главный фактор. Как эта схема согласуется с принципами Деминга? Да, НИКАК!
24. Выбор поставщиков и исполнителей в области ИБ В Европе и США проводится на порядок меньше тендеров, чем у нас. Все дело в том, что заказчик выбирает только одного поставщика и планомерно «доращивает» его до своих требований. Иногда оказывается выгодно выбрать уже очень компетентного поставщика, а иногда выбрать перспективного и «заточить» его под себя (все зависит от показателя совокупных затрат). И тот и другой вариант возможен, т.к. контракты выстраиваются на долгосрочную перспективу. В итоге действует принцип «выиграл-выиграл», когда поставщик и заказчик становятся партнерами, а не стремятся выиграть в цене (в России чаще всего есть проигравшая сторона). Предложенная схема работы с поставщиками используется не только в General Electric, Toyota, Mercedes или Shell, точно по такому же принципу отбираются и поставщики для государственных организаций в Японии, США, ФРГ и других странах. Используйте эту схему!
25. Выбор поставщиков и исполнителей в области ИБ Эти же принципы действуют и при отборе сотрудников, отвечающих за обеспечение ИБ в организации. Иногда выгодно выбирать “дорогих” специалистов высокой квалификации (например, когда сроки создания СОИБ сильно ограничены), а иногда – перспективных, но “дешевых” кандидатов, не обладающих большим опытом, но способных быстро развиваться (например, для развивающейся компании). В последнем случае рекомендуется использовать услуги опытного внешнего консультанта* в построении СОИБ и для оценки правильности действий ваших специалистов. Лучше сразу не допускать ошибок, чем исправлять их последствия! * К сожалению, в российских компаниях-интеграторах очень большая “текучка кадров” и качество услуг сильно зависит от участников проектной команды, поэтому при выборе консультантов необходимо работать с конкретными людьми компании-исполнителя или независимыми консультантами, т.е. с людьми, мнение которых общепризнано или вы ему доверяете.