Comments 5
Как все это похоже на наши документы ФСТЭК!
Приветствую, частично хотел бы прокомментировать вас:
Если я не ошибаюсь у нас и «переводят» все с оранжевой книги, стандартов NIST, ISO/IEK и многое другое ;) Но если быть реалистом на фоне 187 ФЗ РФ достаточно много нововведений, так как это достаточно жестко перевернуло подход в ЗИ как в ТЗИ, как ПИБО, как моделях угроз, атак и нарушителя, включая ПП РФ 127 и вытекающими приказами ФСТЭК России, типа 235, 239 — что даёт надежды на корректную обработку в формате PDCA — что думаете?
Добрый день, спасибо за обратную связь.
Действительно, в законодательстве по защите КИИ множество нововведений, при этом процессный подход при построении системы управления ИБ, в том числе с применением PDCA-цикла Деминга, достаточно распространен и продвигается регуляторами не первый год. Исходя из лучших практик, наилучший результат в контексте минимизации рисков ИБ дает выстраивание именно процессов, а не функций ЗИ.
Анализ международных документов по управлению рисками информационной безопасности. Часть 1