23.6.16

Соревновательный дух в обеспечении ИБ в госорганах

Понимаю, что сама по себе постановка вопроса, вынесенная в заголовок, звучит достаточно странно, и многие до сих пор считают, что у нас госорганы занимаются ИБ только для "галочки" и только "когда припрет", но бывают и исключения. И вот для таких случаев данная заметка будет интересной. Хотя ровно та же идея может быть реализована и в любом другом случае, например, в финансовой организации, внедряющей 382-П или СТО БР ИББС, или на критической инфраструктуре, внедряющей приказ ФСТЭК №31 или IEC 62443.

Идея проста - на базе радарной (лепестковой) диаграммы, предложенной позавчера, оценивать подразделения госоргана, его филиалы и даже отдельных руководителей и сравнивать их между собой. Это может выглядеть вот так:


Может быть и вот такой вариант - использовать вместе радарной диаграммы гистограмму. Суть от этого не меняется.


Я не раз обращался к теме геймификации в ИБ и данная заметка говорит о том же, но применительно к оценке соответствия требованиям по безопасности. Это трансляция известной, но не очень популярной услуги security benchmark, которую предлагают некоторые компании "большой четверки" аудиторов. Обладая большой базой проведенной аудитов они могут сравнивать схожие компании по различным параметрам и выдавать вердикт - лучше обратившийся заказчик выглядит на фоне других (без конкретных имен) или хуже. Если лучше, то это способ возгордиться собой и повесить на грудь бляху тому, кто помог в достижении такого результата. Если хуже, то есть куда стремиться - ориентир дается вполне себе четкий.

В предлагаемом мной варианте аналогичный метод используется для сравнения подразделений одного предприятия между собой. Если данные диаграммы/гистограммы "вывешивать" на каких-либо досках объявлений или на внутреннем портале, то можно сделать их достоянием гласности, мотивируя подразделения быть лучше (если у них, конечно, такая мотивация есть). Взяв же за основу вчерашние и позавчерашние размышления, можно развить эту идею "ИБ-соревнований" и на всю страну. Но это уже отдельная тема...

4 коммент.:

Сергей Городилов комментирует...

Тема для регуляторов. Провели проверку - сказали: "Лучше других или хуже" :) Работоспособно будет, если станет показателем результативности деятельности органа власти/чиновника.

Алексей Лукацкий комментирует...

Хороший безопасник ФОИВ и сам внутри может такое соревнование сделать. А если еще и регулятор поддержит, так вообще супер

Grin комментирует...

В рамках гос органов получится банальная пиписка мерка. на каждый чих стараться поднять баллов. в серьезные проблемы будут в тени: "смотрите как у нас круто"

Александр Германович комментирует...

Госорганам пока не до соревновательного духа. Для них гораздо важнее получить от регуляторов ответы на следующие вопросы:
1. Что такое ГИС? (никто до сих пор не дал однозначного ответа на этот главный вопрос, зато известно желание ФСТЭК подвести под 17-й приказ каждый бюджетный компьютер).
2. Нужно ли проводить ежегодный контроль аттестованной ГИС (в приказе на этот счет ничего не написано, зато ГОСТ по аттестации обязывает это сделать). Ежегодный контроль это, как все понимают, опять же деньги, которые нужно платить лицензиату.
3. Кто должен выполнять 17-й приказ: обладатель информации или оператор ИС? Очень часто оператор (гос. орган) просто не знает о том, что он оператор, и все свои функции перекладывает на обработчика (того, кто эксплуатирует ЦОДы). В регионах масса проблем такого рода ввиду неурегулированности юридических вопросов эксплуатации ГИС.