Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Кони, люди

Аватар пользователя Ригель
Автор: Хромов Михаил,
(0)
()
Кто давно занимается ИБ, тот знает, что бывают несоответствия и инциденты. И даже, возможно, что инциденты бывают разной степени тяжести, а их названия обратны ИТ-шной практике. Но это нам во второй раз не интересно.

Несоответствие – это расхождение между писаным требованием и реализацией. Ходит себе внутренний аудитор с внутренними себе аудитами и записывает: "не стоят критические патчи за три месяца, а по регламенту можно за один – несоответствие", "не назначен ответственный за хранение резервных лент, а по закону нужно было еще в июле – несоответствие", "ограничительный гриф нанесен на сантиметр левее, чем в утвержденном образце – несоответствие". Кстати, многие для несоответствий тоже заводят шкалу: мажорное/минорное или крутое/реальное/галимое, добавляют также отдельную оценку для похвальных несоответствий, отклонений в лучшую сторону.

Инциденты – это происшествия, которые повлекли ущерб или чуть было не повлекли. Выплыл, например, какой-то прошлогодний бэкап на черном рынке. Они могут иметь под собой почвой несоответствие, а могут и не иметь: может, было какое-то требование, несоблюдение которого как раз привело (так и не назначили ответственного за ленты, который бы знал, что спросят конкретно с него), а может, реализовалась угроза, которую недооценили или не рассматривали (сказалось отсутствие охраны в ночное время).

Писавшие 152-ой ФЗ и 781-ое ПП оперируют только одной сущностью - нарушениями. Если так посмотреть, то и несоответствие – нарушение (установленных правил обработки и/или защиты), и инцидент – нарушение (как минимум, обязанности оператора принимать необходимые и достаточные меры). А для нарушений положена процедура разбирательства. По которой у Вас пойдут и всплытие прошлогоднего бэкапа на черном рынке, и смена пароля раз в 65 дней вместо 60, и нанесение ограничительного грифа на сантиметр левее, чем в утвержденном образце.

Теоретически, ничто не мешает иметь хоть десять процедур для разных типов нарушений. Но если в законе явно не написано, у всех будет одна.
Оцените материал:
Total votes: 90
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.