2024-06-27 18:04:01
Сергей Солдатов тут написал пост, с чего надо начинать работу CISO, поставив на первое место аудит А я вот не соглашусь, что аудит - это хорошая точка старта. Начав с аудита, мы сами себя загоняем в тупик, начиная заниматься не результативной ИБ, цель которой будет соотнесена с потребностями бизнеса, а с неких требований, соответствие которым мы и должны проверить
В одном случае CISO становится рабом чеклистов, которые он разработает сам, скачает из Интернета или ему принесут их интегратору и аудиторы В этом случае он занимается не тем, что нужно бизнесу, а тем, что написано в том или ином стандарте. Если это будет CIS (на этой неделе вышла новая версия 8.1) или NIST CSF 2.0, в последних версиях которых появился совершенно новый пункт - Governance, который как раз про соотнесение целей ИБ и бизнеса, то это и неплохо Вот с Governance, которого нет в отечественных стандартах, и надо начинать. Но аудит проверяет, что сделано (в прошедшем времени), а надо именно делать - идти к бизнесу и понимать его боли, его задачи, его риск-аппетит, его страхи, но с прицелом на сферу влияния CISO В этом случае CISO превращается из бумажного ИБшника в человека, который чаще сталкивается с разными инструментами, чем с чеклистами.
Иными словами, начинать надо не с аудита, а с общения с бизнесом. Потом уже определить, как этого достичь, потом понять, чего не хватает (вот на этот вопрос может частично ответить аудит) и устранить разрыв за счет реализации различных мер - своими силами и с помощью других подразделений
4.4K views15:04