вторник, 13 января 2015 г.

Костыли для аудитора

    Где-то раз в 3 месяца слышу от коллег, что аудит нужно проводить только на соответствие какому-либо стандарту ("ФЗ-152", ISO 27001, PCI DSS etc). Отбрасывая пентесты и же с ними, хочется спросить - а зачем, коллеги, Вам эти "костыли" - стандарты?

    Право, что мешает провести интервью и понять где у бизнеса конкурентоспособные преимущества, где ключевые элементы операционной модели, идентифицировав тем самым риски и прикинув контрмеры.
    Уже после этого в качестве справочника по контрмерам становится рационально использовать стандарты.
    Детальный расчет рисков может быть и заменен на дополнительное обсуждение рисков с бизнес-направлениями, формируя общее виденье и команду для внедрения изменений - мер и средств безопасности.
    Предлагаю отбросить "костыли" и шагать ровно и прямо, не отставая от бизнеса.

Комментариев нет:

Отправить комментарий