На днях разработал и утвердил инструкцию по работе с ресурсами Интернет. Все замечательно. Определили правила, ввели некоторые ограничения. Но стали приходить ко мне разные люди и говорить: "А какой смысл? Я вот сейчас возьму смартфон все сфотографирую и унесу." Я им отвечаю:"Согласен. Но в таком случае давайте тогда я напишу заявление об увольнении и ничего не буду делать. И вы деньги сэкономите. Или, как говорил один мой шеф, давайте определим границы идиотизма.".
Все прекрасно понимают, что возможностей украсть масса. Можно сфотографировать, запомнить, записать на бумажку, и т.д. Нет проблем, давайте отберем на входе все мобильники, флешки и т.д. Поставим аппаратуру досмотра, как в аэропорту. Будем стирать память на выходе. Смешно? Но возможно. Просто нужно очень много денег.
Давайте же тогда определим риски и ущерб от них. И в случае если этот ущерб превысит стоимость защиты, тогда и будем все это внедрять.Есть организации, в которых на входе просят оставить мобильные телефоны в камере хранения, есть организации просвечивающие сумки посетителей. Значит это было им необходимо и выгодно. Они для себя определили границы.
по своему определению ИБ - это сведение к минимуму возможности утечки информации (т.е. это должно произойти очень непросто). К тому же всё определяется ценностью самой информации. Если информацию стоит миллион баксов, то тратить на её защиту два миллиона никто не будет
ОтветитьУдалитьСогласен, два миллиона тратить глупо. Т.к. стоимость защиты не должна быть выше стоимости занимаемого. Соответственно можно рассматривать трату 10-20% от стоимости информации. Если это не поможет, то тогда проще страховать риск. Или работать в направлении снижения негативных последствий.
ОтветитьУдалить