Потому что существуют риски, которые нельзя принять после любой обработки. Отличное выходное чтиво : Белый дом издает указание операторам "критичной инфраструктуры" руководствоваться принципами риск-менеджмента в защите от кибер-гроз, чем повергает ИБ-сообщество в тихий ужас.
Не мудрено: испытуемая на протяжении последних лет 15-ти концепция управления безопасностью при помощи выискивания вокруг рисков для бизнеса и попыток "продать" эти риски владельцам и топ-менеджерам, мягко говоря, провалилась. Причины? Все просто: бизнес вообще создается для того, чтобы идти на риск с целью получения прибыли. Поэтому всегда найдутся Остапы, которые готовы подписаться под принятием риска любой величины.
Где выход? Если вы работаете в энергетике, транспорте, медицине или еще какой-нибудь жизненно критичной отрасли, выхода нет. Хватайте в руки так называемые "лучшие практики" защиты ИТ-систем и применяйте их. Ну и для регуляторов здесь прямое указание к действию: везде, где дело касается жизни и здоровья людей, уповать на риск-менеджмент нельзя. А нужно вместо этого давать четкие и понятные указания к действию.
Почему управление рисками
Почему управление рисками
управление рисками
соответствие требованиям
Ваш провайдер знает о вас больше, чем ваша девушка?
