Уравнение риска включает как ценность актива так и наличие уязвимости в информационной системе, но почему-то игроки рынка ИБ фокусируются на одной из сторон. "Практические" безопасники молятся на уязвимости, "бумажные" на ценность актива. Понятно, что и та и другая точка зрения имеют право на жизнь, ведь и так и та оплачивается конечным потребителем, и мы видим заказ клиентов как на бесчисленные "бумажные" проекты (в первую очередь ФЗ-152) так и на анализ уязвимости различных систем.
Обе стороны используют одно и то же уравнение риска, но подходят к нему с разных сторон. Консультанты используют подход "сверху-вниз" (top-down), находя критичные активы и поводя поиск уязвимостей, исследователи сперва находят уязвимости, а потом доказывают критичность взломанных активов (подход "снизу-вверх" - bottom-up).
В сухом остатке имеем 2 зеркальных процесса - asset-to-vulnerability и vulnerability-to-asset. ISACA учит что у каждого есть свои достоинства и недостатки, я считаю что разница в мировоззрении заказчика процесса:
В этом сценарии технические навыки ценятся априори выше (т.к. актуальность ИБ очевидна), и в нем живут, например, США. А вот анализ рынка вакансий Соединенного Королевства наводит на мысль что там актуален сценарий "Мир". Там действительно принципиально больше вакансий с фокусом на управление ИБ.
Определение актуального для страны и индустрии состояния поможет сформировать адекватную ситуации стратегию и дорожную карту ИБ, двигаться последовательно и непротиворечиво, понимать мотивацию заинтересованных сторон и легче защищать бюджеты.
Обе стороны используют одно и то же уравнение риска, но подходят к нему с разных сторон. Консультанты используют подход "сверху-вниз" (top-down), находя критичные активы и поводя поиск уязвимостей, исследователи сперва находят уязвимости, а потом доказывают критичность взломанных активов (подход "снизу-вверх" - bottom-up).
В сухом остатке имеем 2 зеркальных процесса - asset-to-vulnerability и vulnerability-to-asset. ISACA учит что у каждого есть свои достоинства и недостатки, я считаю что разница в мировоззрении заказчика процесса:
- Фокус на уязвимостях, выведывании ТТХ средств противника, осведомленности об угрозах присущ войнам и военным ведомствам в целом.
- Фокус на активах, разумном управлении риска присущ бизнесу и мирному времени в целом.
В этом сценарии технические навыки ценятся априори выше (т.к. актуальность ИБ очевидна), и в нем живут, например, США. А вот анализ рынка вакансий Соединенного Королевства наводит на мысль что там актуален сценарий "Мир". Там действительно принципиально больше вакансий с фокусом на управление ИБ.
Определение актуального для страны и индустрии состояния поможет сформировать адекватную ситуации стратегию и дорожную карту ИБ, двигаться последовательно и непротиворечиво, понимать мотивацию заинтересованных сторон и легче защищать бюджеты.
Комментариев нет:
Отправить комментарий