Информация

Местоположение
Россия
Сайт
www.npo-echelon.ru
Численность
Неизвестно
Дата регистрации

Блог на Хабре

Обновить
Комментарии 4
в статье насторожил список читающих.

В случае отчета по тестированию защищенности в качестве читателей выступают:

Генеральный директор;
Руководитель департамента информационной безопасности;
Руководитель департамента информационных технологий.

ЗАКАЗЧИК услуги читает отчет! и только. если заказчиком выступает генеральный директор, то его читает он, после чего интересуется мнением своих исполнителей — CIO/CISO.
Не забыйте про конфликт интересов ИТ и ИБ. Отчет о проникновеннии — это показатель как ИБ контролирует ИТ, которое стремясь удовлетворить требования бизнеса строит информационные системы и ресурсы.
На мой взгляд правильный порядок ознакомления: CEO — CISO — CIO. Генеральный формирует понимание проблемы, спрашивает с руководителя ИБ о принятых мерах с подтверждением, после чего ставит задачу руководителю ИТ о разработке и реализации плана мероприятий по устранению замечаний.
pa_kulikov, вне зависимости от порядка ознакомления сотрудников отчет должен содержать информацию для всех заинтересованных групп.
alexdorofeeff, я говорил про список ознакамливающихся и то, что меня в этом смутило, а не про содержательную часть отчета.
Не знаю насколько Вы знакомы с внутренней кухней заказчиков, но, как правило, такой документ, попадающий в руки CIO тут же разлетается руководителям подотчетных ему направлений, с целью получения разъяснений. А это, между прочим, достаточно чувствительная информация.
Не расценивайте за придирку, но мне слово «читающие» напрягает. Такого рода документы не читают, а изучают и реагируют. Увы, но в своей практике я много раз встречался с ситуацией, когда дальше такого чтения дело не пошло.
Я уже вижу диалог:
ГД: ну давайте посмотрим, что там эти писатели понаписали.
ИТ: ничего серьезного.
ГД: значит идите работайте.

Занавес.
Не забыйте про конфликт интересов ИТ и ИБ. Отчет о проникновеннии — это показатель как ИБ контролирует ИТ

Конфликт — он будет всегда. Проблема в том, что «ИБ контролирует ИТ» — это не всегда так, а точнее также распространено, что «ИБ=ИТ» и «ИТ контролирует ИБ» — это не редкость, а реальность
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.