Основы риск- и бизнес-ориентированной информационной безопасности: основные понятия и парадигма / Comments / Habr

vr_17 Sep 19 2019 at 17:08

Внедрение различных технических средств защиты целесообразно производить только после прохождения основных этапов построения комплексной системы управления информационной безопасностью: разработки внутренних нормативных документов в области риск-менеджмента и кибербезопасности, инвентаризации и классификации активов, оценки и анализа рисков, технико-экономического обоснования внедрения конкретных типов средств защиты.

Это для многих очевидно. Загвоздка в том, что как правило ИБ растёт вместе с инфраструктурой и тащит наследство. Очень мало где все проектируется и строится с 0 сразу достаточно большим для того чтобы иметь все необходимые средства, регламенты. А главное — людей, готовых и способных постоянно и правильно все это использовать. Поэтому чаще происходит взаимная деформация при подгонке одного под другое. И хорошо если от такой «сварки трением» получается нерушимый монолит. Простите за неуместную аллегорию.

Comments 4

bloodevil Sep 18 2019 at 20:52

Простите, а вы бы не могли бы выделить в статье место про бизнес-ориентированность?

RRakhmetov Sep 18 2019 at 21:08

Бизнес-ориентированной ИБ будут посвящены дальнейшие публикации. Эта — вступительная.

RRakhmetov Sep 19 2019 at 17:17

Полностью согласен. Однако, взяв за ролевую модель лучшие практики и международные стандарты, можно постараться выстроить качественные процессы ИБ даже при наличии «тяжелого» инфраструктурного бэкграунда.