Смотря какой. "Анализ рисков ИБ" без дополнения "на предмет ..." - это ни о чем. Это все равно что инженеру про расчет изделия сказать. А какой расчет-то - на изгиб с кручением, на гомогенную конденсацию или на болотную проходимость? Это разные задачи, а не одна. Задача "Расчет вообще" не решаема, бессмысленна, недостаточнно информации для решения, только время терять.
Выбор применимых контролей из 27002 - это один анализ рисков (довольно смешной, кстати, но это отдельная тема), выбор между СЗИ А и Б - другой, прием стремного работника на генератора ключей - третий и т.п. А поскольку нет общего знаменателя, то нет и универсального инструмента.
Эта довольно старая тирада, произносимая с вариациями года четыре уже, будет здесь красоваться те две недели, которые я купаюсь и загораю. А вы пока можете делать анализ рисков.
1 комментарий:
Проще сказать "Как неправильно делать"
или как А.Лукацкий подмечал "вредные советы", например:
Если Вас за небольшие
деньги просят Риск найти
а большие незаплатят
за созданье СЗИ
То найдите столько Рисков
чтоб Закащик обалдел
и тогда он Вам заплатит
за созденье СЗИ
Ну а если не заплатит
то совсем уж запугайте
приведите им отчеты
по утечкам ПДн...
Расскажите про законы
расскажите про ботнеты
и про хакеров скажите
и про вирусы в сети
И возможно Ваш Заказчик
посчитает Вас за гуру
и немного денег выдаст
и на сайте разместит...
бла бла бла...
Приятного отдыха тем кто отдыхать может себе позволить !!!
Отправить комментарий