Согласен, оценка влияния на процессы обязательна должна проводиться. И мы при разработке техстандарта это учитывали. В нашем случае можно говорить о двух случаях.
1. Оценка влияния на процессы ИБ. Тут нам было в каком-то смысле проще т.к. в нашу же задачу входило проектирование процессов ИБ. Соответственно, проектировали мы с учетом требований разработанного стандарта. Причем разработка стандарта велась итеративно. Т.е. сначала был разработан стандарт и мы понимали, что какие-то требования там могут не заработать ввиду особенностей ИТ и ИБ-инфраструктуры. Поэтому никто разработанный стандарт не спешил утверждать. По мере проектирования процессов ИБ мы корректировали стандарт. Финальная же ревизия и корректировка стандарта была выполнена только после того как все процессы ИБ были спроектированы, задокументированны и согласованы.
2. Оценка влияния на бизнес-процессы. При разработке технического стандарта постоянно велось взаимодействие с подразделениями, которых он прямо или косвенно касался. Постоянно вырабатывались решения, чтобы не попасть в описываемую вами ситуацию. При этом, в стандарте есть ряд исключений и четко описаны случаи, когда от его требований можно отступать. Это делось в т.ч. с целью минимизации потери времени в критически важных ситуациях. Все отступления от требований стандарта осуществляются под контролем ИБ-подразделения.
Также добавлю, что описываемая вами ситуация достаточна частая для бизнеса. Мы придерживаемся подхода, что ИБ должна быть разумной и не идти вразрез с целями и задачами бизнеса.
1. Оценка влияния на процессы ИБ. Тут нам было в каком-то смысле проще т.к. в нашу же задачу входило проектирование процессов ИБ. Соответственно, проектировали мы с учетом требований разработанного стандарта. Причем разработка стандарта велась итеративно. Т.е. сначала был разработан стандарт и мы понимали, что какие-то требования там могут не заработать ввиду особенностей ИТ и ИБ-инфраструктуры. Поэтому никто разработанный стандарт не спешил утверждать. По мере проектирования процессов ИБ мы корректировали стандарт. Финальная же ревизия и корректировка стандарта была выполнена только после того как все процессы ИБ были спроектированы, задокументированны и согласованы.
2. Оценка влияния на бизнес-процессы. При разработке технического стандарта постоянно велось взаимодействие с подразделениями, которых он прямо или косвенно касался. Постоянно вырабатывались решения, чтобы не попасть в описываемую вами ситуацию. При этом, в стандарте есть ряд исключений и четко описаны случаи, когда от его требований можно отступать. Это делось в т.ч. с целью минимизации потери времени в критически важных ситуациях. Все отступления от требований стандарта осуществляются под контролем ИБ-подразделения.
Также добавлю, что описываемая вами ситуация достаточна частая для бизнеса. Мы придерживаемся подхода, что ИБ должна быть разумной и не идти вразрез с целями и задачами бизнеса.