Методика оценки рисков ИБ от НБУ: блин комом

- Скажите, пожалуйста, куда мне отсюда идти?
- А куда ты хочешь попасть? - ответил Кот.
- Мне все равно... - сказала Алиса.
- Тогда все равно, куда и идти, - заметил Кот.
- ...только бы попасть куда-нибудь, - пояснила Алиса.
- Куда-нибудь ты обязательно попадешь, - сказал Кот. - Нужно только достаточно долго идти.

Вчера Национальный банк разослал  проект методики оценки рисков информационной безопасности. Стандарт базируется на международном стандарте ISO/IEC 27005 "Information technology - Security techniques - Information security risk management" и дополнен изрядной долей креатива.

По форме.
Обычно при подготовке к выпуску какого-либо продукта, если не укладываются в сроки, жертвуют качеством. С расчетом "потом поправим". Прочтение документа оставляет впечатление, что дефицит времени был колоссальный. Соответственно,  это прямо пропорционально отразилось на качестве. Можно закрыть глаза на не убранные "track changes" и не везде переведенные с русского термины. Но это только начало. Конфиденциальность, целостность, доступность и  наблюдаемость  из свойств информации (точнее свойств ресурсов СУИБ, определение из стандарта ) превратились в сервисы информационной безопасности.
Приложения с примерами, изначально задуманные для упрощения понимания методики, запутают даже опытных специалистов по управлению информационными рисками. Как, например отличить социальную инженерию, используемую для промышленного шпионажа, от социальной инженерии, используемой хакерами и кракерами? То, что кракеры используют социальную инженерию повергнет в шок даже самих кракеров. А как отличить хакеров от компьютерных преступников? Которые могут быть только внешние, ибо инсайдеры - это отдельная категория. Этот список можно продолжать бесконечно: DOS и DDOS атаки теперь сугубо террористическая деятельность, "Відсутність схем періодичної замени" может привести к "Руйнуванню обладнання або середовища" и т.д. В раздел "ляпы" можно переносить львиную долю приложений. 

По сути.
Практической пользы от документа крайне мало. Для тех, кто не знал какую методику использовать, ответа на вопрос "что делать?" в документе нет. Есть туманные путанные противоречивые намеки. О том, что методики оценки есть качественные и количественные. И жесткого предписания что именно использовать нет. Есть только описание плюсов и минусов различных подходов.  Что есть хорошо и плохо одновременно. Хорошо для банков, которые имеют свои методики. Почти любая методика оценки информационных рисков, выпущенная после изобретения компьютера подойдет под требования. А плохо в том, что те кто не знал как оценивать риски, не поймут этого даже после троекратного прочтения документа. Суть некоторых предложений, благодаря их длине и вложенности, становится понятна только после их третьего прочтения.
Основные преимущества, от использования риск-ориентированного подхода тоже под угрозой. Если банки смело могут использовать качественную оценку (дескать она проще), как оценить эффективность инвестиций в контроли? Да, НБУ предупреждает о недостатках сугубо  качественной оценки рисков. Но не запрещает ее использование. По сути - это дыра для тех кто просто хочет соответствовать требованиям не заворачиваясь.
Суть документа можно свести к следующему: "используйте любую методологию, а не знаете как - идите к консультантам.". А консультанты уже тут как тут - прислали коммерческие предложения по оценке рисков раньше, чем НБУ проект методологии. И у всех "опыт внедрения". Не важно, что внедряли антивирус, зато "в соответствии с требованиями ISO 27001", что в предложении отражается как "практический опыт внедрения ISO 27001".

Надежды на методику нет. Даже после исправления всех грамматических ошибок, согласования формулировок и т.д. Остается наедятся только на здравый смысл людей, которые хорошенько подумают для чего им (им конкретно, коллегам, банку) безопасность и на сколько эффективно она должна работать. Что у нас впереди - соответствие или польза?