Риск-ориентированный подход, который приводится в пример при подобных разговорах, на мой взгляд, в нашей стране пока даже для многих крупных компаний является "светлым завтра", а уж для СМБ так вообще "светлым послезавтра". Как ни крути, все-таки выполнение обязательных требований есть и будет основной движущей силой, заставляющей бизнес внедрять решения ИБ.
Что могло бы изменить такой подход? Ну, во-первых, если речь идет об информации, касающейся только самого бизнеса, то и говорить нечего - пусть защищает или не защищает как хочет. Поэтому, все эти разговоры актуальны только для информации, имеющей значение для государства и общества (персональные данные, разные тайны, критические инфраструктуры и т.д.) И здесь, на мой взгляд, проблему перевода ИБ от бумажного, в практическое русло могла бы решить корректировка принципов контроля и регулирования ИБ, а точнее ответственности за инциденты. Т.е. когда за инциденты ИБ (не за все конечно, а которые могут затронуть еще интересы других сторон, но это отдельная тема) будут строгие санкции, бизнес будет предпринимать меры по их недопущению. Причем санкции именно за инциденты, а не за ущерб, причиненный в следствии таковых. Почему именно так? Сейчас за ущерб и так имеются санкции в рамках действующего законодательства, но проблема его доказательства лежит на потерпевшей стороне. И если представить, к примеру, что субъект персональных данных (обычный гражданин) пытается доказать моральный ущерб от утечки его персональных данных у крупного оператора связи, или и того круче - у ГИБДД, то шансы его не велики (если кто судился в нашей стране, поймет). Поэтому все организации будут защищать эти данные не более чем, чтобы отбиться от проверки регулирующего органа. А если бы даже за сам факт утечки данных (даже если сам субъект об этом даже не узнал) были бы строгие санкции, к защищенности этих данных в той же ГИБДД отнеслись бы гораздо серьезнее. И это не вместо требований к обеспечению ИБ, а в дополнение.
Хотя, конечно, здесь гораздо больше проблем, чем видны на поверхности...
Речь идет о том, чтобы в нормативные требования внести ответственность держателя данных (попадающих под требования) за "за инциденты, а не за ущерб, причиненный в следствии таковых". Т.е. за факт утечки информации, как таковой.
Я правильно понял?
Если это так, то почему бы именно так - просто и понятно и не изложить эту идею?
Ну уж как изложил..
Но я бы искренне советовал подумать над формой ее изложения. Хочу сразу сказать, что возможно, это я такой бестолковый, все остальные читатели поняли. Возможно, я ошибаюсь в восприятии текста.
Но если идея изложена непонятным образом, но реализовать ее будет невозможно.
Значит, нужно изложить иначе. Другого варианта нет