Где-то раз в 3 месяца слышу от коллег, что аудит нужно проводить только на соответствие какому-либо стандарту ("ФЗ-152", ISO 27001, PCI DSS etc). Отбрасывая пентесты и же с ними, хочется спросить - а зачем, коллеги, Вам эти "костыли" - стандарты?
Право, что мешает провести интервью и понять где у бизнеса конкурентоспособные преимущества, где ключевые элементы операционной модели, идентифицировав тем самым риски и прикинув контрмеры.
Уже после этого в качестве справочника по контрмерам становится рационально использовать стандарты.
Детальный расчет рисков может быть и заменен на дополнительное обсуждение рисков с бизнес-направлениями, формируя общее виденье и команду для внедрения изменений - мер и средств безопасности.
Предлагаю отбросить "костыли" и шагать ровно и прямо, не отставая от бизнеса.
Право, что мешает провести интервью и понять где у бизнеса конкурентоспособные преимущества, где ключевые элементы операционной модели, идентифицировав тем самым риски и прикинув контрмеры.
Уже после этого в качестве справочника по контрмерам становится рационально использовать стандарты.
Детальный расчет рисков может быть и заменен на дополнительное обсуждение рисков с бизнес-направлениями, формируя общее виденье и команду для внедрения изменений - мер и средств безопасности.
Предлагаю отбросить "костыли" и шагать ровно и прямо, не отставая от бизнеса.
Комментариев нет:
Отправить комментарий