Коллеги. Честно говоря, это проблема CISO (админа ИБ или как у вас это называется) донести до топ-менеджмента (например, главврача, главного инженера, гендира, совета директоров и пр.) мысль, что им ВЫГОДНО потратить деньги на КИИ/ИБ/пр. Без вовлечённости руководства можно даже не начинать делать остальное. Да у организации может не быть денег сейчас, но если руководство будет заинтересовано, то будет искать способ их найти, а не причину, почему не искать. Если руководитель отказывает вам в помощи по КИИ, потому что не понял ничего, или не воспринял риски, то это цисо плохой. А если руководитель осознаёт риски и принимает/игнорирует их, то... Дальше вам решать будете ли вы с ним работать дальше.
Вы на корабле и видите, что заходите на минное поле. Ваша задача объяснить риски взрыва мин. Как - сами решайте.
Руководитель пойдёт на снижение уровня риска до более менее приемлемого уровня при небольших затратах (если, конечно, у нет цели утопить корабль). Так что дерзайте и дано вам будет (ресурсы на обеспечение безопасности КИИ)
Ты все правильно говоришь, но есть одно "но". В среднестатистической больнице (образцово-показательные не берем) нет не только "админа ИБ", но и выделенного айтишника. Очень часто информатизация - дело рук конкретного врача-энтузиаста, причем только в пределах одного отделения.
