НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Легитимность корпоративных ИБ-политик в российских компаниях

Валерий Васильев
02.03.2016 09:25:51

Издание PC Week/RE провело опрос среди своих читателей, который помогает прояснить, насколько законными работники компаний считают требования своего руководства, относящихся к выполнению корпоративных политик ИБ, касающихся персонала.

Результаты опроса говорят о том, что в целом руководство российских компаний не ущемляет интересы своих работников в ходе выполнения корпоративных политик ИБ, касающиеся персонала – 52% участников опроса считает все подобные меры легитимными, и только 29% не согласны с таким выводом (остальные с оценкой законности предъявляемых к ним ИБ-требований не определились).

О том, что руководство компаний в целом предъявляет к персоналу сбалансированные ИБ-требования, говорит также то, что 62% участников опроса ужесточили бы требования ИБ-политик, касающихся обязанностей персонала, если бы были владельцами компаний, а 24% оставили бы их без изменений, и только оставшееся явное меньшинство постаралось бы ослабить эти требования.

Комментариев: 17

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Donat Lipkovsky
02.03.2016 13:07:37

Законность политик ИБ определяется двумя вещами:
- политики не противоречием имеем законам и организационно-технически выполнены в соответствии с руководящими требованиями соответствующих документов по безопасности
- все документы по ИБ в организации оформлены в письменном виде и доведёны под роспись до каждого сотрудника
Всё остальное, типа, "легитимные - не легитимные", "ущемление прав", "нравится - не нравится" от лукавого.

02.03.2016 17:43:18

Целью нашего данного опроса было выявить отношение к ИБ-политикам, имеющим непосредственное отношение к персоналу, а не законность организации ИБ в компаниях. Опрос показал, что общий вектор регулирования ИБ (которому обязано следовать руководство компаний) неплохо соответствует отношению к ИБ со стороны персонала.

Donat Lipkovsky
02.03.2016 20:58:13

Цитата
Целью нашего данного опроса было выявить отношение к ИБ-политикам, имеющим непосредственное отношение к персоналу...

Я не против опросов, но слово Легитимность (от лат. legitimus — согласный с законами, законный, правомерный[I]) в названии, делает акцент именно на законности, а не простом любопытстве.

03.03.2016 08:54:14

а по-вашему мнение каждого отдельного работника это любопытство, а не повод поиска легитимности?

Donat Lipkovsky
03.03.2016 10:49:50

Поиск легитимности - что это?

03.03.2016 11:10:17

а это пересмотр законов под насущные потребности граждан

Donat Lipkovsky
03.03.2016 13:23:25

Цитата
пересмотр законов под насущные потребности граждан

Вы имеете ввиду граждан и Думу или сотрудников конкретной организации и политику безопасности этой организации?! Я хочу определиться с контекстом относительно, которого будет проистекать наш мыслительный процесс.

03.03.2016 13:28:45

Мне бы хотелось и Думу, и сотрудников конкретной организации считать гражданами. Отсюда и законы, и ИБ-политики сочинять

Donat Lipkovsky
03.03.2016 13:45:11

Цитата
сотрудников конкретной организации считать гражданами. Отсюда и законы, и ИБ-политики сочинять

Политика безопасности компании и, как, её часть политика информационной безопасности, как раз и составляются на основе и с учётом существующих в конкретной стране законов, а так же требований конкретных документов по ИТ-безопасности. Именно об этом я и написал в самом первом комментарии.

Donat Lipkovsky
03.03.2016 13:48:28

Добавлю.
При составлении Политики безопасности нет никаких референдумов всего персонала. В разработке Политики безопасности принимают участие руководство компании, руководители всех звеньев, ИТ-отдел, юристы компании.

03.03.2016 13:59:59

Для референдумов существуют другие площадки, и результаты опроса свидетельствуют, что работают эти площадки достаточно эффективно, как в интересах владельцев компаний, так и в интересах персонала. С поправкой на репрезентативность данного опроса.

Donat Lipkovsky
03.03.2016 14:13:44

А вы не путаете персонал компании с клиентами компании?

03.03.2016 13:02:23

Опрос, проведенный PC Week, действительно своевременный, ведь любой организации крайне трудно определить оптимальный уровень строгости политик ИБ. И восприятие реальной ситуации сотрудниками — очень ценная информация.

Валерий дал свою интерпретацию результатов и, возможно, она правильна. Однако, не всё так однозначно. Приведенные данные вполне могут свидетельствовать и об обратной ситуации, т.е. о том, что большинство опрошенных работают в таких организациях, где корпоративная политика ИБ крайне лояльна или носит формальный характер. Вполне естественно, что такая политика ИБ будет устраивать персонал. Ведь чем больше свободы, тем выше уровень удовлетворенности. Косвенно об этом свидетельствует высокая доля сотрудников, осознающих, что будь они владельцами бизнеса, то не хотели бы такого уровня вольности среди своих подчиненных в части ИБ и были бы намерены ужесточить политику в этой области.

В этом и других опросах было бы интересно видеть более подробное описание выборки. Тогда проще было бы интерпретировать результаты и использовать их в практической работе.

03.03.2016 13:18:58

Увы, но репрезентативность любых опросов всегда вызывает сомнения. Это неизбежно. Но в такой деликатной, а потому сильно закрытой, области, как ИБ, мало-мальски коллективное мнение, как мне кажется, представляет интерес.

Donat Lipkovsky
03.03.2016 13:30:23

Цитата
ведь любой организации крайне трудно определить оптимальный уровень строгости политик ИБ

Крайне трудно определиться с политиками безопасности там, где у сотрудников нет чётко определённых обязанностей, а руководство понятия не имеет, чем, как, где и в какое время сотрудники выполняют эти обязанности.

03.03.2016 13:45:57

Действовать в условиях неопределенности, конечно, трудно. Но, как мне представляется, результаты опроса помогли частичку неопределенности преодолеть. Получается, что персонал и работодатели примерно совпадают в отношении построения ИБ в компаниях. Честно говоря, не ожидал этого, имея ввиду непреходящий российский нигилизм.

Donat Lipkovsky
03.03.2016 14:05:41

Вообще-то руководство компании обязано хорошо представлять бизнес-процесс в целом, а нижестоящие руководители - нюансы бизнес-процессов по своим направлениям. В организации должны быть соответствующая этому бизнес-процессу организационная структура, в которой чётко определены назначение и порядок взаимодействия организационных звеньев, а так же должностные обязанности сотрудников.
Если всего этого нет, то не только невозможно разработать и внедрить политику безопасности, но вообще эффективно управлять такой компанией.
Кстати, при составлении Политик безопасности практически всегда происходит оптимизация управления бизнес-процессами и организационной структуры предприятия.

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии