Исключения из правил

Очень часто возникает ситуация. В компании принимается какой либо документ регламентирующий вопросы ИБ. При этом, как правило, вводятся некие ограничения. И практически всегда возникает некий руководитель подразделения, который не согласен с ограничениями. Его аргументы сводятся обычно к тому, что безопаснник мешает им работать. Что они зарабатывают деньги для компании. Что им удобно работать по старому. И т.д. При этом руководитель требует сделать для его подразделения исключение. 

В данной ситуации большую роль играет поддержка руководства компании. Если такая поддержка есть, то скорее всего победит безопасник, либо будет разработано некое компромиссное решение. В случае когда с поддержкой есть проблемы, мне кажется, выходом из ситуации будет следующий вариант. Руководителю исключительного подразделения предлагается подписать бумагу, в которой он указывает, что осознает все риски и принимает их. Кроме этого, берет ответственность на себя за возможное возникновение инцидентов ИБ связанных с данным исключением из правил. Желательно, чтобы эту же бумагу подписал руководитель компании, после разъяснения всех рисков и последствий. Тогда претензий к безопаснику, в случае ЧП, уже быть не может. Он предупреждал. Хотя в действительности, все равно будут претензии, но их можно будет сгладить такой бумагой. 

Возможен и вариант, когда после таких заявлений уволят безопасника. Но в этом случае мне кажется делать в такой компании абсолютно нечего.

Кому нужна информационная безопасность?

Столкнулся тут с интересной ситуацией. В компанию взяли специалиста по ИБ. Сказали, что основная задача на ближайшее время приведение в соответствие ФЗ№152, ну и остальное тоже. Человек  начал осваиваться, выяснять что и как.... По результатам написал руководству, что исходя из поставленных задач на первом этапе нужно внедрить такие системы, разработать такие документы, организовать такие процессы. Руководство собрало совещание. И вот на совещании когда специалист по ИБ начал рассказывать о предлагаемых решениях, в момент когда он озвучил примерную стоимость, руководство как то сникло и сказало, что таких денег нет. И никакие доводы о том, что убытки будут больше, расчеты и т.д. не помогли. Руководство сказало, что то что предлагает специалист нацелено на защиту того, что для них в общем то и не очень ценно. На вопрос, что же тогда Вы считаете ценным и требующим защиты? Ответ был, что в общем то ничего. Все ценное в головах надежных, доверенных людей. А остальные ничего ценного не знают. Вот такие дела. 

И тут возник у специалиста немой вопрос: "А зачем же Вы тогда спеца то на работу взяли?".

Ответ судя по всему: "Потому что!". При приеме на работу говориться одно. Когда доходит до дела, уже другое. А в мыслях, подозреваю, третье.

Получается, что те, кто должен определить ценность активов и принять меры к защите, считают, что ничего ценного нет и соответственно безопасность им не особо и нужна. Ведь жили же они без нее как то. Грустно.

Желание напряженно работать

Я вернулся. Дочь растет, можно заняться своими делами. 

Пока я был в отпуске в сети LinkedIn  появилось сообщение от Андрея Бажина из БрокерКредитСервиса о том, что они подобрали себе наконец кандидатов на должность начальника методологии и начальника по техническим средствам (или как то так, точно не помню, но это и не важно). В сообщении он сокрушался, что пришлось провести около 40 собеседований пока нашли того кого хотели. Резюме его таково, специалистов по ИБ много. Но только кто то не подходит по знаниям и опыту, кто то не готов напряженно работать. И вот здесь у меня возникли сомнения и мысли. Мысли следующие, в российском понимании фраза "напряженно работать" означает в большинстве своем, что придется заниматься безопасностью в коллективе, которому она не очень нужна и без поддержки руководства или акционеров. На моей памяти очень немного компаний, где руководство полностью поддерживает безопасников и является гарантом внедрения необходимых мероприятий и средств защиты. Это означает, что если какой то руководитель не желает сотрудничать с безопасником (и такое бывает) и противодействует процессу, то у последнего есть "палка" в лице руководства/акционера, которая позволяет решать проблемы такого рода. И согласно международным стандартам такая ситуация (с поддержкой руководства/акционера) должна быть всегда и везде. Безопасность должна идти от руководства и им поддерживаться. У нас же зачастую безопасники вынуждены сами решать вопросы в силу своей обаятельности или других способностей. И именно в этом очень часто смысл выражения "напряженная работа". Гораздо приятнее работать когда ты понимаешь, что у тебя за спиной есть некая высшая сила, которая в самом крайнем случае определит, кто прав - кто виноват.

Возможно я ошибаюсь и мне просто не везло с компаниями. Готов выслушать мнения коллег.