Начать аргументировать? Когда-то ведь умел. Но, видимо, променял навык на диспуты с аудиторами.

да блин. я же приводил аргумент в самом начале: iso27k очень неоптимален. он рождался в те годы, когда автоматизация атак была очень посредственная и можно было позволить себе строить защиту с большим оверхедом. сейчас это уже самоубийство -- расходовать ценные ресурсы на то, чтобы адаптировать сферического коня в вакууме к реальным условиям.

ну скажи что я неправ?

ну, и вообще есть смешной карго-культ больших корпораций, что "де там-то все сделали по уму, поэтому они такие устойчивые". нет, у них большая устойчивость на уровне бизнес-процессов, поэтому они могут позволить себе делать _не_ по уму из-за избытка ресурсов. и то порой случается maersk.

если хочется практического и притом системного подхода, берите CSF. не _контроли_ из CSF, а саму высокоуровневую часть фреймворка.

Абсолютное большинство стандартов рождались в те годы. Да и избыточность тоже неизбежна, когда пытаешься охватить все случаи.

Да и нет задачи у таких стандартов обеспечить максимально возможную безопасность. Там задачи проще:
1. Дать общую базу и терминологию индустрии
2. Предоставить некий гайдлайн, как сделать хоть что-то, если совсем не ясно что делать.

И для этих задач стандарты все ещё актуальны.

Понятно, что нужно не слепо им следовать вопреки всему, но и публично их откидывать тоже не стоит

А дальше банкротство🤷‍♂

ну то есть они нужны чтобы "как-то сделать когда думать некому"

вот лучше пригласить человека который умеет думать или хотя бы дать методологию о чем думать

Ну так бизнес-процессы тоже берутся не из воздуха, а из своих стандартов индустрии) если только это не что-то инновационное

даже чуваки из DHS это поняли в конце концов

Где их столько набрать?)

User didn't pass the validation and was banned.

Собственно по обоим пунктам плюсую. Больше ничего и быть не может в таких стандартах

ну вот, наконец-то какой-то консенсус :)

но

я вот что хочу сказать
последнее время ИБ в новых компаниях меня прямо таки радует

в смысле, здравого смысла на порядки больше чем условные десять лет назад
люди лучше ориентируются в приоритетах и не залипают на то, что какие-то старперы обозвали "лучшими практиками" в начале века

ну, конечно, если у компании нет легаси-инфраструктуры и ничего вообще старше пяти лет, это дает мощную свободу действий :)))

"""
О том, как себя обезопасить в интернете, кто и зачем взламывает других, The Village рассказал директор по информационной безопасности Parallels Алексей Смирнов. В середине 90-х он вместе с группой других хакеров поучаствовал во взломе системы безопасности Citibank. Сейчас Смирнов называет это «масштабным проектом по сбору и систематизации информации, в котором не было корыстной цели». В то время киберпреступления не карались российским законодательством, а сейчас прошёл срок давности. Смирнов перешёл на светлую сторону, ему удалось выстроить карьеру в сфере информационной безопасности, не имея даже образования.
"""

прикольнама

Ну то есть в стартапах?)

Ну там о безопасности вообще не то чтобы очень думают. Там первый приоритет - не прогореть, а ИБ это в категории форс-мажор и стихийное бедствие)

ты знаешь, некоторые успевают думать. и вот прямо сразу делают без большого оверхеда по ресурсам, чтобы потом не переделывать :)