Как за 4 шага улучшить процесс оценки рисков безопасности

[saipr]

Третий виток. Автоматизация.

Так видел автоматизацию Битструп.

[Ko8a]

Спасибо за вашу статью. В интернете не так много информации именно по оценке бизнес рисков, для меня лично данная статья оказалась очень полезной

[giznenn0]

Рада быть полезной. По оценке рисков и правда маловато информации. Все говорят, что она нужна, но как - тема сложная и не раскрытая.

[bb17]

• упор на автономность продуктовых команд. В целевой картине они могут самостоятельно следить за рисками и даже их выявлять, будучи погруженными в контекст и понимая свои бизнес-процессы;  

Управление рисками ИБ всегда ограничивает функциональность реализации бизнес-процессов. Автономные команды не заинтересованы в этих ограничениях. Т.е., они ничего о рисках ИБ не расскажут, а уж "выявлять" ...

[giznenn0]

Выявить риск можно по вспомогательным индикаторам. Например, если какой-то сервис опубликован в интернет, содержит чувствительные данные, использует конкретные технологии: эту инфу мы можем собирать с команд или сами. Тут уже потенциально риск, другое дело рассмотреть, как он закрыт.

[Shaman_RSHU]

Если вы не знаете, какие сервисы у Вас опубликованы в Интернет, так это вам не рисками надо заниматься, а управлением ИТ-автивами сначало :)

[giznenn0]

В том то и дело, что все это известно )

[devops_sergeant]

Хорошая отчасти статья. Только не раскрывает одного. Вы описывайте риски по людям, которые получив 9 грамм инвестиций не смогут поддержать критически важную инфраструктуру и не смогут починить если она упадёт? Пока риск модель выглядит, как стандартный набор shift left, которая представляет набор тонны карточек, которые в итоге к исполнению не обязательны. Вы собрали статистику, а дальше? Понесли её наверх, чтобы палкой ИБ исправлять эти риски?)

[giznenn0]

Привет, спасибо за комментарий. Для этого в компании есть уже механизмы, не из-под палки. Плюс хороший уровень зрелости(про это я упоминала) тоже позволяет справляться без этого.

[Livsi115]

Довольно очевидно кто и зачем это придумал: сделаем импортозамещение ещё и в оценке рисков, ну примерно с тем же успехом как в замещении мониторов или маршрутизаторов.

Вероятно автор не осилила внедрение ни ISO 27XXX, ни COBIT и решила воспользоваться их доморощенной производной, изобретённой одним отечественным вендором.

[giznenn0]

Добрый день, статья не про импортозамещение или соответствие стандартам. А про налаживание процесса. Можно рассмотреть внедрение iso 27xxx теми же шагами, что описаны в статье, они отчасти применимы )