Рассматривая любые стандарты или правила, связанные информационной безопасностью, стоит сначала определить, а чьей безопасности касаются данные стандарты. Например, в рамках стандарта безопасности данных индустрии платежных карт (PCI DSS), если Вы организация обрабатывающая и хранящая платежные данные клиентов, то сами будете представлять угрозы для своих клиентов. Угрозы, которых без Вас бы не существовало и последствия которых скажутся именно на держателях карт.
name='more'> 
Таким образом, этот стандарт направлен вовсе не на Вашу безопасность, а на безопасность клиентов и контрагентов (ну и государства в какой-то мере). То же касается и многих других зарубежных (Sarbanes-Oxley, Gramm–Leach–Bliley, HIPAA/HITECH) и отечественных (СТО БР ИББС, Требования ФЗ 152 "О персональных данных" и т.д.) правил и стандартов.
Таким образом, исполняя требования регуляторов, вы управляете не своими рисками, а чужими... А что же делать со своими?
При анализе своей организации, важно осознать, какие ключевые функции выполняются в вашей организации. В абсолютном большинстве случаев ответ на данный вопрос можно сформулировать в виде списка бизнес-процессов.
 |
| "Множество" вторичных активов |
Формирование "ресурсной" картины покажет, какие из вторичных активов наиболее ценны для организации. Конечно, при условии, что мы определим, какие из процессов наиболее важны. Во многих случаях мы даже можем рассчитать количественно рассчитать, сколько прибыли в единицу времени приносит тот или иной процесс... А значит и потенциальные убытки от его прерывания, что и должно лечь в основу методики оценки рисков .
На основе этой статьи .
