среда, 31 августа 2022 г.

Как айтишникам ставить задачи по SMART

SMART is a mnemonic acronym that stands for the following:

• Specific (what, who, where, and why)

• Measurable (motivational)

• Achievable (realistic)

• Relevant (in line with the overall dream)

• Time-based (end date and time-driven)

Это означает, что мы адресно и четко должны писать задания, задания должны быть точно выполнимы (не выполнить всё на свете и быстро), ставим реалистичный срок. Мы сами должны понимать, как будем проверять выполнение заданий. Выполнено / не выполнено уже будет зависеть от многих иных факторов.


Пример 1:

to: servicedesk@bank.ru

Добрый день!

В соответствии с требованиями политики ИБ прошу отключить следующие учетные записи до конца рабочей недели (02.09.2022 пятница).

Ivanov

Petrov

Sidorov

Скрипт для отключения у вас имеется (или прилагается).

С уважением

 

вторник, 23 августа 2022 г.

Становление ИБ в организации

Как-то меня озадачивали вопросом, что бы я делал и как, будь появилась необходимость ставить процессы ИБ в организации, которая начала стремительно расти из финансового стартапа. Делюсь записями из склада документов на своём компе. Немного актуализировал в соответствии с нынешними реалиями.

Предположим, что имеется небольшая ИТ-инфраструктура, состоящая из контроллера домена, почтового сервера, файловых серверов, серверов баз данных, шлюзов для интеграции с бизнес-партнерами и шлюза в НСПК для финансовых транзакций. Также имеется web-сайт. Многие сотрудники хотят работать в удаленном режиме.

Буду рассматривать актуальные риски ИБ текущего времени:

  • риски нарушения непрерывности бизнеса;
  • риски несоответствия 152-ФЗ и утечек персональных данных;
  • риски несоответствия PCI DSS.

Теперь я буду в комплексе предлагать меры для качественного парирования перечисленных рисков. Подход будет от простого к сложному. Где можно, будем обходиться встроенными механизмами ИБ без покупок средств защиты. Где нельзя, сразу будем их ставить.