Суть цикла проста. На первом году тренер привыкает и изучает команду, которая попала ему в руки. Он присматривается, отмечая сильные и слабые стороны игроков команды и того окружения в котором приходится играть футболистам. На втором году стоит задача стабилизировать результаты команды, уйдя постепенно от хаотического ритма игры. На третий год ставится задача начать рост результатов, а на 4-й — показывать уже только положительную и постоянную динамику, которая и позволяет выигрывать на Олимпийских Играх.
Выслушав такую концепцию (достаточно здравую, на мой взгляд), я подумал, что для руководителя службы ИБ подход должен быть тем же. Если не для малого предприятия (но там CISO и так нет), то для среднего и крупного точно. При этом сохраняется именно этот 4-хлетний цикл — изучение нового места работы и своей команды, стабилизация работы и установление взаимоотношений с подразделениями компании и внешними заинтересованными лицами (регуляторы и т.п.), старт серьезных изменений с точки зрения ИБ (новые проекты и процессы) и установление нормального процесса управления информационной безопасностью во всем ее многообразии.
ЗЫ. Кстати, размышления про CISO недавно были опубликованы в блоге Сергея Борисова.
ISO 27001 — PDCA
Этот комментарий был удален автором.
Ну есть же 4-х стадийная концепция формирования команды (правда не обязательно стадия длится год): forming, storming, norming, performing
Ну да. К ИБ тоже имеет отношение. Насчет годового круга согласен — забыл написать, что это скорее для крупных предприятий работает. Помельче и сроки будут поменьше
>Помельче и сроки будут поменьше
А покрупнее, соответственно, и сроки покрупнее 🙂
Я знаю предприятия, где за 4 года ничего не успеть значимого реализовать — такой цикл там будет порядка 12 лет (!)
Я бы не стал сравнивать с футболом — исходные данные немного другие — наши футболисты в любом случае и без тренеров могут играть на среднем мировом уровне (да, плохо, но играют же?). С точки зрения ИБ в организациях как крупных так и мелких могут быть различные уровни зрелости и ждать 4 года пока все будет хорошо означает 4 года потерь. На мой взгляд если CISO за месяц не наведет порядок, то он его и за 10 лет потом не наведет. А совершенствоваться потом можно сколько угодно. Сколько было примеров оформления на работу на пару месяцев профессионалов за оооочень большие компенсации, а затем замена на более дешевого "исполнителя".
Не соглашусь — причесывание компании за пару месяцев, это из области фантастики. У организации не хватит гибкости, чтобы так быстро перестроиться.
За пару месяцев можно, разве что, разработать, согласовать и утвердить некую общую концепцию — но это даже не план мероприятий.
>За пару месяцев можно, разве что, разработать, согласовать и утвердить некую общую концепцию — но это даже не план мероприятий.
Еще вполне можно успеть вытащить пару основных критичных рисков и начать внедрять их смягчение. Больше времени руководство компании не будет ждать эфемерных построек Плана. Руководству действия подавай )))
Все это укладывается в ISO 27001 — PDCA. Согласен с х
>Еще вполне можно успеть вытащить пару основных критичных рисков и начать внедрять их смягчение
Это сразу же подразумевает следующие предположения:
1. На предприятии идентифицированы риски (что уже круто)
2. На предприятии гибкое бюджетирование (т.е. не надо пару лет выколачивать деньги на проектирование чего-то там, что еще через 3 года можно будет строить).
А ведь так далеко не везде…
>На предприятии идентифицированы риски (что уже круто)
По опыту в 3-х компаниях: идентифицировать 2-3 наиболее критичных риска можно успеть и за месяц, если сразу приступить к опросу владельцев критичных активов. В добавок Вы наберете массу сырого материала для дальнейшего анализа по утвержденной в дальнейшем методике.
>На предприятии гибкое бюджетирование (т.е. не надо пару лет выколачивать деньги на проектирование чего-то там, что еще через 3 года можно будет строить).
Мы говорим о смягчении рисков — это под силу решить и админстративными мерами. Степень смягчения определите в ходе первого доклада о результатах идентификации (через месяц-полтора).
Дальше влючаем PDCA и совершенствуемся до бесконечности: идентифицируем оставшиеся риски, планируем тяжелые мероприятия с солидным бюджетом и т.д. — все 4 года, как пишет Алексей.
>если сразу приступить к опросу владельцев критичных активов
И снова предположение. Найти владельца актива (про критичные активы, т.е. провести классификацию я тоже молчу) на многих предприятиях нереально.
Если речь хоть немного про ИТ актив, то все будут показывать в сторону соответствующего админа, что, естественно, неправильно.
>Найти владельца актива … на многих предприятиях нереально.
Поддерживаю, если с 1С:Бухгалтерией сразу все понятно, бухгалтерия не отвертиться, то выяснить кто владелец (ака возьмет на себя ответственность) СЭД, CRM сходу выяснить вряд ли получиться.
>Поддерживаю, если с 1С:Бухгалтерией сразу все понятно
Да я и тут бы поспорил 🙂
1С даже у нас используют: бухгалтерия, кадры, логистика, руководители проектов.
Причем где-то понятен владелец информационного ресурса, а где-то совсем даже нет (как правило это речь о данных, которые использует сразу несколько подразделений, причем все на чтение/запись).
В общем случае, чтобы понять кто владелец ресурса, надо понять как он используется в соответствующем бизнес процессе (а потом можно владельца процесса и владельцем ресурса сделать) — а если СМК и не пахнет на предприятии?