Главная » Блоги Экспертов И ИТ-Компаний » Про бессмысленные доклады и экспертов оторванных от реальной жизни

Про бессмысленные доклады и экспертов оторванных от реальной жизни

Послушал очередную презентацию про регулирование информационной безопасности в России. Слушал долго и скучал.

Вопрос, а в чем прагматичный смысл слушать о существовании полусотни документов и тысяч отдельных требований?

Если представить себе компанию, которая выполнила все требования, то она должна сидеть в бункере, без интернета и не может ничего производить, ибо опасно. Вот, слушатели узнали, что есть +100500 требований, и что компания все на свете нарушает. Что дальше?

Ответ простой — ничего.

Будут работать, как работают.

О чем вообще говорит докладчик? Чего пытается донести? Что все вокруг нарушители и много чего нарушают? Так это и без него понятно.

В таких «исследованиях» отсутствует хоть какая-то приоритизация требований. Ведь совершенно очевидно, что разные требования имеют разную критичность для организации.

Теперь по делу. За последний год мы в RTM Group проанализировали гигантское количество документов и отсмотрели тысячи практических кейсов по их применению. Из всего объема требований, реально хоть как-то работает 4-8% (в зависимости от профиля организации). От выполнения этих требований исходит 95% всех нормативных (читай правовых и не только) рисков. Причем моя практика однозначно подтверждает, что та сила с которой может «прилететь» от нескольких очень старых и много лет не обсуждаемых требований, может запросто привести к прекращению деятельности организации. Я уже молчу про последствия для ИТ и ИБ специалистов, на которых потом менеджмент покажет пальцем, при поиске виноватых. Про правовые последствия для коллег я часто рассказываю в своих докладах. Не дай Бог попасть под каток правоохранителей, они будут делать свое дело, а вы не будете спать по ночам.

Замечу, что наши профильные требования по ИБ очень тесно завязаны, на массу смежных областей и тем: проблематику интеллектуальной собственности, банковскую деятельность, проблемы частной собственности, налоги и много что еще. Короче говоря, завалить специалистов тысячами требований и сказать, что все  это надо делать, это прекрасно и снимает любую ответственность, из принципа – «ну я же сказал». Но реальная жизнь — это работа с рисками и очень часто имеет смысл не выполнять целые группы модных требований, а сосредоточится на чем-то старом скучном, но очень важном.


© Царев Евгений for Царев Евгений, 2017. | Permalink | No comment

Feed enhanced by Better Feed from Ozh



Источник: https://www.tsarev.biz/?p=5822


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU,
http://www.tsarev.biz/, Эксперт по информационной безопасности
---

В 2007 году закончил Томский государственный Университет Систем Управления и Радиоэлектроники по специальности «Защищенные системы связи».

В 2011 году получил степень MBA “Инновационный и проектный менеджмент” в Академии народного хозяйства при Правительстве РФ.

Профессионально занимается развитием направления информационной безопасности в российских интеграторах и вендорах.

Аудитор и тренер СТО БР ИББС, Ведущий аудитор и тренер ISO 27001 Автор ряда курсов по информационной безопасности. Автор более 10 исследований, 50 статей и 300 публикаций и комментариев в СМИ по информационной безопасности.


Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>