Основы риск- и бизнес-ориентированной информационной безопасности: основные понятия и парадигма / Комментарии / Хабр

vr_17 19 сен 2019 в 14:08

Внедрение различных технических средств защиты целесообразно производить только после прохождения основных этапов построения комплексной системы управления информационной безопасностью: разработки внутренних нормативных документов в области риск-менеджмента и кибербезопасности, инвентаризации и классификации активов, оценки и анализа рисков, технико-экономического обоснования внедрения конкретных типов средств защиты.

Это для многих очевидно. Загвоздка в том, что как правило ИБ растёт вместе с инфраструктурой и тащит наследство. Очень мало где все проектируется и строится с 0 сразу достаточно большим для того чтобы иметь все необходимые средства, регламенты. А главное — людей, готовых и способных постоянно и правильно все это использовать. Поэтому чаще происходит взаимная деформация при подгонке одного под другое. И хорошо если от такой «сварки трением» получается нерушимый монолит. Простите за неуместную аллегорию.

Комментарии 4

bloodevil 18 сен 2019 в 17:52

Простите, а вы бы не могли бы выделить в статье место про бизнес-ориентированность?

RRakhmetov 18 сен 2019 в 18:08

Бизнес-ориентированной ИБ будут посвящены дальнейшие публикации. Эта — вступительная.

RRakhmetov 19 сен 2019 в 14:17

Полностью согласен. Однако, взяв за ролевую модель лучшие практики и международные стандарты, можно постараться выстроить качественные процессы ИБ даже при наличии «тяжелого» инфраструктурного бэкграунда.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий