Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод «что если» построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.
Чтобы я включил в список возможных сценариев «что если»? Сходу вырисовывается следующий список:
- А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
- А что если завтра придет «письмо счастья» из Роскомнадзора (документарная проверка) по вопросам ПДн?
- А что если завтра придет проверка ФСТЭК в части ТЗКИ?
- А что если завтра придет проверка ФСБ в части шифрования?
- А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
- А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
- А что если завтра произойдет инцидент ИБ?
- А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
- А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
- А что если завтра руководитель компании захочет сократить персонал службы ИБ?
- А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
- А что если завтра наша компания поглотит другую компанию?
Безусловно это далеко не полный список; скорее так, минутный мозговой штурм. Но он позволяет задуматься и найти пробелы в собственном плане обеспечения ИБ. А главное, что правильная реализация подхода «что если» позволяет не распыляться по мелочам, а закрывать только реальные риски, которые и могут стать причиной потенциальных, но серьезных проблем.
Еще есть вариация: Перечислите 5 событий (не больше 5), претендующих на роль ночных кошмаров для вас.
Тогда план получается более конкретным и реализуемым. Такой обширный список ситуаций лучше доверить аудиторам.
Этот комментарий был удален автором.
Этот комментарий был удален автором.