Есть в менеджменте один полезный инструмент - процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных, или, короче, анализ "что если" (what if). Причем это не гадание на кофейной гуще, а вполне себе адекватный метод прогнозирования, позволяющий определить возможный ход событий и разработать программу действий на случай, если прогноз сбудется.
Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод "что если" построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.
Чтобы я включил в список возможных сценариев "что если"? Сходу вырисовывается следующий список:
Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод "что если" построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.
Чтобы я включил в список возможных сценариев "что если"? Сходу вырисовывается следующий список:
- А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
- А что если завтра придет "письмо счастья" из Роскомнадзора (документарная проверка) по вопросам ПДн?
- А что если завтра придет проверка ФСТЭК в части ТЗКИ?
- А что если завтра придет проверка ФСБ в части шифрования?
- А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
- А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
- А что если завтра произойдет инцидент ИБ?
- А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
- А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
- А что если завтра руководитель компании захочет сократить персонал службы ИБ?
- А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
- А что если завтра наша компания поглотит другую компанию?