Теория организации применительно к информационной безопасности

Недавно на bankir.ru в очередной раз всплыл вопрос о том, кому должна подчиняться служба ИБ. Как обычно разгорелся флейм, в результате которого единого рецепта так и родилось. У всех свой опыт и свои рекомендации. О чем это говорит? О том, что универсальных советов в этой области практически нет.

Замечали ли вы, что рецепты успешного внедрения ИБ в одной компании, не всегда срабатывают на других предприятиях? Даже лучшие практики не всегда приживаются в той или иной организации. А ведь по логике вещей должны — на то они и лучшие, что собраны со всего мира, с десятков тысяч предприятий. Почему так происходит? Ответ прост. Все компании разные. Даже если они работают в одной отрасли, различий между ними гораздо больше (это кстати одна из причин, почему security benchmarking — во многом вещь бестолковая). Разный уровень зрелости, разные руководители, разная структура компании и разные этапы жизненного цикла организации. Все это прямым образом влияет на информационную безопасность и успех/неудачу принятия или внедрения тех или иных решений и проектов.

Однако как сложен и многообразен не был бы вокруг нас мир, в конечном итоге он подчиняется определенным законам — не случайно на свет родилась теория систем. Тоже относится и к предприятиям различных форм собственности, масштаба, культуры, географической принадлежности. Все они представляют собой комбинации простейших взаимодействующих элементов, понимать принципы действия которых необходимо для успешного существования любого подразделения в компании. И информационная безопасность не исключение.

К чему я, собственно, это написал? Просто близится курс «ИБ и теория организации», который я читаю в ИБД АРБ, и я активно готовлюсь к нему 😉

ЗЫ. Как обычно, ИБД АРБ проводит 2 варианта курса — очно (7500 руб.) и онлайн (5000 руб).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Ригель

    О, это хорошая тема — наконец-то до нее кто-то добрался. До сих пор ни у кого не хватало ума даже ввести поправку на тип структуры управления (это где две линейных и три или четырые дивизионных), а ты сразу так глубоко. Но, может, излишне глубоко, а? Может, к черту теоретическое многообразие, а рассматривать варианты реализации, которые все-же сводятся к нескольким понятным моделькам — так оно и людям удобнее.

    Ответить
  2. Ригель

    Блин, ты же об этом и говоришь. Я, значит, спросонья невнимательно прочитал — как увидел словосочетание «теория организации», так сразу камент строчить.

    Ответить
  3. Olgert

    Коснувшись большинства факторов, влияющих на организацию и состояние ИБ, Автор не указал два главных — профессиональный и человеческий. Удивительного в этом ничего нет, ибо тема очень непростая. Но любые методики и схемы летят к чёртовой матери, когда «рулить» ИБ дают людям без оной подготовки или просто бездарям. Собственно, в данном случае ИБ — лишь частное проявление общей картины…

    Ответить
  4. Анонимный

    Есть мнение, что не существует никакого разнообразия условий, уровней зрелости, отраслевой специфики и т.д. Существует лишь разнообразие руководящих кадров — каждый со своей собственной «школой жизни».

    Вот когда к руководству ИБ придут кадры, обучавшиеся в молодости по единым программам — вмиг всю «специфику» как рукой снимет.

    Ответить
  5. Алексей Лукацкий

    Ригелю: Ну, учитывая, что курс не большой — меньше полного дня, то глубоко и не получится влезать.

    Olgert’у: Автор это учел 😉 В разделе про руководителей будет идти речь не только о тех, с кем приходится общаться, но и о тех, кто будет общаться 😉

    infowatch’у: Специфику снимет ПОД CISO, а не НАД! Вот когда ИБ начнут на MBA/EMBA преподавать по более менее адекватным программам и в ВУЗах начнут учить не неприменимой на практике теории криптографии, а бизнесу, то тогда специфики почти не будет. Только вот всех «под горшок» у нас давно перестали стричь 😉

    Ответить
  6. Мария Сидорова

    Тема действительно очень хорошая, с удовольствием приду послушать! Вопросов по этой теме мнООООго:)

    Алексей, за что же вы так криптографию то не любите? Криптография ведь это база, на ее основе существует невероятно интересная наука — криптология:)

    Ответить
  7. Алексей Лукацкий

    Мария, криптология — это основа криптографии 😉 От криптологии два ответвления — криптография и криптоанализ. В ВУЗах преподают первое, напрочь забывая о втором. Но даже первое преподавать в том объеме, как это делают, никому не нужно в нашей стране.

    Вы не можете и не будете на практике разрабатывать свои алгоритмы, анализировать чужие или высказывать замечания на выбираемые продукты. Все что можно с нашим законодательством делать — использовать ГОТОВЫЕ сертифицированные и не очень продукты. И все знание криптографии может быть ограничено только темой законодательства и темой управления ключами. Все остальное — бесполезная трата времени.

    ЗЫ. Это не касается криптографов, которые затем пойдут в «контору», но таких единицы и учатся они далеко не всегда в обычных ВУЗах.

    Ответить
  8. Мария Сидорова

    Алексей, определения мне известны, спасибо:)
    Но в том, что касается криптоанализа могу с вами поспорить..не везде, но преподают и в очень большом объеме..даже нам читали криптографию 2 года и криптоанализ 2, 5 и пусть мы не разрабатывали своих алгоритмов, но
    зато анализировать чужие и писать дешифраторы нас научили, и вот даже по себе могу сказать, что когда ты реализуешь самостоятельно тот же алгоритм ГОСТа, то ты только тогда понимаешь все его слабые места.

    Я не считаю это бесполезной тратой времени, по крайне мере для себя:)

    Ответить
  9. Анонимный

    Развели демагогию.Нафиг никому не нужна ваша крипторафия.

    Ответить
  10. Алексей Лукацкий

    Мария, а на практике вы эти знания используете?

    Ответить
  11. Мария Сидорова

    Да,но не в рабочее время, больше для себя и для научных статей, и сразу оговорюсь, под вашу категорию «ЗЫ» я не попадаю:):):)

    Ответить
  12. Алексей Лукацкий

    Ну тогда вопросов нет. Но все-таки ВУЗы у нас готовят специалистов для дальнейшей работы, а не только для использования полученных знаний «для себя» 😉

    Ответить
  13. Мария Сидорова

    090102
    090103
    090104
    090105
    090106

    Большая часть изучаемой программы во всех 5 случаях не пригодится в работе по специальности…кого бы попросить их пересмотреть:)

    Ответить
  14. Алексей Лукацкий

    Золотые слова 😉 Я об этом уже говорил много раз. Только вот никому это особо не нужно, исключая парочку продвинутых ВУЗов, которые ведут платное обучение и заинтересованы в том, чтобы дать студентам применимое на практике образование. А остальным по барабану, т.к. они не несут ответственности за качество обучения и студент к ним не может предъявить претензии.

    Ответить
  15. Анонимный

    мы не платный ВУЗ (какой не скажу но в Томске)))- тему применения теории менеджмента и теории организации стараемся студентам безопасникам дать уже давно…да и если почитать ОСТ по их специальностям, то там есть такое требование….то что другие ВУЗы этого не дают — нарушение стандарта

    Ответить
  16. Алексей Лукацкий

    Приятно слышать

    Ответить