Прокрустова политика
Почитал ваш покорный слуга сайт securitypolicy.ru с образцами политик безопасности и заметил вот что.
Все мы понимаем, что нужны не документы (политики) как таковые, а единоообразное понимание и единообразное исполнение процедур ИБ всеми пользователями.
Единообразное? Кто сказал? Разве могут быть правила едины для всех? Для рядового пользователя и сисадмина. Для "чайника" и "гуру". Для клерка и директора.
Люди созданы очень разными. И не стоит пытаться уравнять их (по крайней мере, без применения известного изобретения). Политику ИБ следует дифференцировать по группам пользователей. Но это ещё не всё. Есть ведь "маги вне категорий". Есть обстоятельства, которые невозможно предусмотреть. Поэтому в правильной политике должен быть пункт навроде следующего.
Допускается отступать от правил, изложенных в настоящей Политике при одновременном соблюдении следующих условий:
1) работник имеет высокую квалификацию в области ИТ и полностью осознаёт суть совершаемых действий и все их последствия;
2) действия работника не снижают общей защищённости информационной системы, не увеличивают рисков ИБ;
3) действия работника направлены на улучшение, оптимизацию рабочих процессов, снижение издержек, повышение эффективности, усиление защиты или на достижение иных благ для предприятия.
Аналогичные положения (разрешение не исполнять) есть в уголовном законодательстве, в Правилах дорожного движения, даже в Коране. Если мы предназначаем нашу политику ИБ для исполнения, а не просто помахать перед сертифицирующим органом, нужно, чтоб она была исполнимой. А какая же исполнимость без исключений?
Все мы понимаем, что нужны не документы (политики) как таковые, а единоообразное понимание и единообразное исполнение процедур ИБ всеми пользователями.
Единообразное? Кто сказал? Разве могут быть правила едины для всех? Для рядового пользователя и сисадмина. Для "чайника" и "гуру". Для клерка и директора.
Люди созданы очень разными. И не стоит пытаться уравнять их (по крайней мере, без применения известного изобретения). Политику ИБ следует дифференцировать по группам пользователей. Но это ещё не всё. Есть ведь "маги вне категорий". Есть обстоятельства, которые невозможно предусмотреть. Поэтому в правильной политике должен быть пункт навроде следующего.
Допускается отступать от правил, изложенных в настоящей Политике при одновременном соблюдении следующих условий:
1) работник имеет высокую квалификацию в области ИТ и полностью осознаёт суть совершаемых действий и все их последствия;
2) действия работника не снижают общей защищённости информационной системы, не увеличивают рисков ИБ;
3) действия работника направлены на улучшение, оптимизацию рабочих процессов, снижение издержек, повышение эффективности, усиление защиты или на достижение иных благ для предприятия.
Аналогичные положения (разрешение не исполнять) есть в уголовном законодательстве, в Правилах дорожного движения, даже в Коране. Если мы предназначаем нашу политику ИБ для исполнения, а не просто помахать перед сертифицирующим органом, нужно, чтоб она была исполнимой. А какая же исполнимость без исключений?