Одним з аспектів цього є те, що рекомендувати аудитору рекомендувати "антивірус" бути усім .
Аудити безпеки не стосуються фактично технічної безпеки. Часто вони також стосуються обмеження відповідальності у випадку позову.
Скажімо, вашу компанію зламали, і проти вас було порушено позов про позовні дії. Ваша конкретна відповідальність може бути пом’якшена, виходячи з того, наскільки добре ви дотримувались галузевих стандартів. Скажімо, аудитори не рекомендували AV на цьому сервері, тому ви не встановлюєте його.
Ваш захист у цьому полягає в тому, що ви дотримувались рекомендацій шановного аудитора і передавали долар так би мовити. До речі, це ОСНОВНА причина, по якій ми використовуємо сторонніх аудиторів. Зауважте, що перекладання відповідальності часто записується в контракт, який ви підписуєте з аудиторами: якщо ви не будете дотримуватися їхніх рекомендацій, все залежить від вас.
Ну а тоді адвокати розслідуватимуть аудитора як можливого співвідповідача. У нашій гіпотетичній ситуації той факт, що вони не рекомендували AV на певному сервері, вважатиметься не ретельним. Це одне зашкодило б їм у переговорах, навіть якщо б це абсолютно не стосувалося фактичної атаки.
Єдина фіскально відповідальна річ, яку повинна зробити аудиторська компанія, - це мати стандартну рекомендацію для всіх серверів незалежно від фактичної поверхні атаки. У цьому випадку AV на все . Іншими словами, вони рекомендують кувалду навіть у тому випадку, коли скальпель технічно перевершує через юридичні міркування.
Чи має це технічний сенс? Як правило, ні, як це зазвичай збільшує ризик. Чи має сенс адвокати, суддя чи навіть присяжні? Абсолютно, вони не є технічно компетентними та нездатними зрозуміти нюанси. Ось чому потрібно виконувати.
@ewwhite рекомендував поговорити з аудитором про це. Я думаю, що це неправильний шлях. Натомість вам слід поговорити з адвокатом вашої компанії, щоб отримати їх думку щодо невідповідності цих прохань.