Что такое хорошее решение в области ИБ? Это значит сделать организацию обеспечения ИБ в компании эффективной и продуктивной не только в краткосрочной (перед проверкой или аттестацией), но и в долгосрочной перспективных. Хорошо подготовленный проект по ИБ, реализующий решение отдельных задач по ИБ, отвечает на 5 обязательных вопросов: ПОЧЕМУ, ЧТО, КАК, КОГДА, КТО! Не ответит на каждый из них, мы отдаем инициативу тем, кто будет принимать решение. А они могут принять решение и не в вашу пользу, опираясь на свое понимание ответов на оставшийся неотвеченным вопрос.
Но допустим, даже ответив на эти вопросы, нашему проекту по ИБ сказали "нет".С чем это может быть связано? С тем, что у человека, которому мы принесли наш проект, просто нет полномочий. Полномочия - это право говорить "да" и "нет". Не "или", а именно "и". Одного "нет" недостаточно. Это не полномочия, это бюрократия.
При этом надо учитывать, что одних полномочий недостаточно. Представьте, что согласно новой редакции ФЗ-152 вы назначили нового ответственного за обработку ПДн и дали ему необходимые полномочия. Но его все игнорируют и он не может принять никаких решений. Для принятия решения нужны не только полномочия, еще нужна власть. Но и ее еще недостаточно, чтобы решение было эффективным. Ведь его надо не только принять, но и воплотить в жизнь. А для этого нужны "помощники" - те же пользователи, которые должны будут выполнять те или иные требования по ИБ. Они могут не иметь власти, они могут не иметь полномочий. Но они могут сказать "нет" и без их согласия проект обречен на неудачу; даже при поддержку руковоства. Что толку от власти и полномочий, если сотрудники его саботируют или игнорируют. Можно пытаться заставить пользователей не совать флешки в ПК. Можно пытаться заставить пользователей не отсылать конфиденциальные документы коллегам за пределы компании. Но издержки на данное "заставлять" скорее всего превысит результаты усилий. Проще мотивировать пользователей к защищенной работе. Для этого нужно влияние!
Идеальная ситуация, это когда окружности совпадают. Как минимум, нужно стремиться попасть в центр этой диаграммы Венна. Полномочия без власти и влияния бесполезны. Собственно как и по отдельности эти окружности тоже ничего не решают. У вас есть влияние, но нет полномочий и власти. Вы можете просто послать всех к черту, сказав "а зачем мне все это?" В итоге ни о какой эффективной ИБ и речи не идет. В этом случае надо уметь говорить с людьми на том языке, который им понятен. Иными словами, вы должны стать психологом. А если у вас есть только полномочия, то вы должны быть политиком, который создает взаимовыгодные для всех условий, в которых каждый чувствует свой вклад в общее дело.
Но тут надо вспомнить предыдущие посты. Полномочия обычо отражают интересы менеджмента. Власть отражает интересы работников. Они могут и, как правило, не пересекаются между собой. Поэтому важно понимать, что интересует руководство, а что сотрудников? И каковы их потребности? Все это надо учитывать. К сожалению, очень часто безопасники не любят все эту "тягомотину" и "теорию". Они не любят политику, они не любят людей, они любят говорить с ними. Но они хотят делать все правильно. Они хотят быть "техническими" руководителями, а не "продавцами" своих проектов/решений (я сам такой ;-). Они не хотят учитывать интересы других людей и используемый ими язык. Но безопасников, которые бы обладали одновременно властью, полномочиями и влиянием очень и очень мало, если они вообще есть. А это значит, что надо менять стиль своей работы, чтобы достичь лучшего результата. Если, конечно, мы стремимся к этому результату.
Но допустим, даже ответив на эти вопросы, нашему проекту по ИБ сказали "нет".С чем это может быть связано? С тем, что у человека, которому мы принесли наш проект, просто нет полномочий. Полномочия - это право говорить "да" и "нет". Не "или", а именно "и". Одного "нет" недостаточно. Это не полномочия, это бюрократия.
При этом надо учитывать, что одних полномочий недостаточно. Представьте, что согласно новой редакции ФЗ-152 вы назначили нового ответственного за обработку ПДн и дали ему необходимые полномочия. Но его все игнорируют и он не может принять никаких решений. Для принятия решения нужны не только полномочия, еще нужна власть. Но и ее еще недостаточно, чтобы решение было эффективным. Ведь его надо не только принять, но и воплотить в жизнь. А для этого нужны "помощники" - те же пользователи, которые должны будут выполнять те или иные требования по ИБ. Они могут не иметь власти, они могут не иметь полномочий. Но они могут сказать "нет" и без их согласия проект обречен на неудачу; даже при поддержку руковоства. Что толку от власти и полномочий, если сотрудники его саботируют или игнорируют. Можно пытаться заставить пользователей не совать флешки в ПК. Можно пытаться заставить пользователей не отсылать конфиденциальные документы коллегам за пределы компании. Но издержки на данное "заставлять" скорее всего превысит результаты усилий. Проще мотивировать пользователей к защищенной работе. Для этого нужно влияние!
Идеальная ситуация, это когда окружности совпадают. Как минимум, нужно стремиться попасть в центр этой диаграммы Венна. Полномочия без власти и влияния бесполезны. Собственно как и по отдельности эти окружности тоже ничего не решают. У вас есть влияние, но нет полномочий и власти. Вы можете просто послать всех к черту, сказав "а зачем мне все это?" В итоге ни о какой эффективной ИБ и речи не идет. В этом случае надо уметь говорить с людьми на том языке, который им понятен. Иными словами, вы должны стать психологом. А если у вас есть только полномочия, то вы должны быть политиком, который создает взаимовыгодные для всех условий, в которых каждый чувствует свой вклад в общее дело.
Но тут надо вспомнить предыдущие посты. Полномочия обычо отражают интересы менеджмента. Власть отражает интересы работников. Они могут и, как правило, не пересекаются между собой. Поэтому важно понимать, что интересует руководство, а что сотрудников? И каковы их потребности? Все это надо учитывать. К сожалению, очень часто безопасники не любят все эту "тягомотину" и "теорию". Они не любят политику, они не любят людей, они любят говорить с ними. Но они хотят делать все правильно. Они хотят быть "техническими" руководителями, а не "продавцами" своих проектов/решений (я сам такой ;-). Они не хотят учитывать интересы других людей и используемый ими язык. Но безопасников, которые бы обладали одновременно властью, полномочиями и влиянием очень и очень мало, если они вообще есть. А это значит, что надо менять стиль своей работы, чтобы достичь лучшего результата. Если, конечно, мы стремимся к этому результату.
Пропущено "не"
ОтветитьУдалить> Они не любят политику, они не любят людей, они _НЕ_ любят говорить с ними.
А вот это к чему - я не совсем понял: ведь не "безопасник" говорит "да" своему же проекту:
> Но безопасников, которые бы обладали одновременно властью, полномочиями и влиянием очень и очень мало, если они вообще есть.
Поэтому совершенствование безопасника заключается как раз в убирании НЕТ в выше приведенном предложении.
Не говорят. Они просят "да" у боссов
ОтветитьУдалитьмат.тех.ответственные так делают? консультанты, собирающие отчеты, так делают? юристы так делают?
ОтветитьУдалитьНо почему то безопасники ставятся в положение людей просящих их "понять и простить".
Зависит ли эффективность ИБ от пользователей? Да. Но, например, одну из задач безопасника я вижу как минимизация влияния человеческого фактора.
Надо ли идти на диалог с пользователями? Несомненно. Но после того как будет единый понятийный аппарат.
Обучение еще никто не отменял и для ряда СЗИ это требование эксплуатационной документации.
По мне, сказать "ДА" проекту по ИБ может только комплекс факторов. Одним из которых является "диалог" с пользователями.