Есть очень много причин, почему все наши потуги в управлении риском не работают.
Одну из таких причин я назвал проблемой периметра.
name='more'> Название мне понравилось, потому, как периметр всегда был очень любимым и почитаемым термином у Безопасников и сейчас когда все и вся твердят о его размытии, становится грустно и возникает чувство несправедливости.Честно говоря, я данный термин использую абсолютно в другом контексте, для иллюстрации распространенной проблемы в области управления Риском.
Предлагаю всем открыть, ну скажем ISO/IEC 27005 (у меня в редакции 2008 года) и взглянуть на Figure1. Informationsecurityriskmanagementprocess.
Куда устремлен ваш взор? Мой, например, на RiskAssessmentи на все, что с ним связано: RiskIdentification, RiskEstimation, RiskEvaluation. Не правда ли – музыка?
Context Establishment и RiskTreatment– ну так это как бы вроде и не мое… Мое дело считать… Денег дадут, ну тогда сделаем, что сможем…
RiskCommunication– кому надо пусть и обмениваются, я готов предоставить инфу в любую минуту, пусть только спросят
RiskMonitoringandReview– а это кажется вообще лишнее: ведь когда риски считаем «MonitoringandReview» происходит автоматически. Или не так?
Вот и получился «периметр», который надежно изолировал, то, что мы делаем от реальной жизни.
К чему это приводит? Когда-нибудь обсудим …:-)