Подскажите какие книги можно почитать на тему инфобеза в малых/средних организациях. Желательно что-то посвежее, чтобы затрагивало тему CI/CD

Специфику конторы надо знать
Самое простое - требования по защите перс.данных

Если есть гос.тайна - ещё сверху и т.д.

ЭП и УКЭП - как с ними работать

вот российская специфика не интересует как раз. Скорее про принципы почитать. Примерно как тут, но с большей конкретикой и примерами бы
https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/wellarchitected-security-pillar.pdf

Про ИБ я бы процитировал определение понятия Информационная безопасность.
Сильно сократив которое можно сказать, что ИБ - это состояние, когда известные риски скомпенсированы возможными решениями.

Т.е. любое ИБ должно начинаться с описания того, от чего ищем возможности защититься. У амазона это где-то в умолчаниях  имеется в виду. А хотелось бы иметь такой бааальшой чеклист для самопроверки. Что-то типа "Найди риски для своего  решения, и вот тебе библиотека методов защиты. Давай там сам уже выбирай, что тебе надо".

Почему-то в среднем ИБ так не работает по моему личному опыту

Казалось бы

Да вполне понятно почему. Человеческая психология. Лидер который сказал, "чот мне ссыкотно" - перестаёт быть лидером в среде где его страхи непонятны. А "менеджмент" где выделяются задачи по ИБ - это некомпетентная среда.

О да, ИБ любит защищаться от неизвестных рисков (

*sarcasm mode* же

Поэтому появляется в конторе этакий "парень за безопасность", который надувает щёки и  "типа если чот случилось - драть его".

У меня с этим плохо в рабочих обсуждениях)

Это кстати прям знак про некомпетентность руководства. Если оно не в курсе возможных рисков и оценки их последствий, тогда надо держать план Б, как заработать денег без этой компании))

Не, я не про это. Я про то, что кроме известных векторов атак и понятных рисков иногда от СБ прилетает и "вроде бы вектора атаки в данном сценарии нет, но вот эти данные лучше бы зашифровать, а то мало ли что". И даже понятна их логика, хотя и мешает временами.

Меня больше волнует, когда все в курсе возможных рисков, но никто не может сколь либо достоверно (по статистике?) посчитать стоимость этих рисков

Ну и регуляторка часто дает неразумные рекомендации (

Ну хуже не будет же :DDD

Зашифруйте подпишите

Захешируйте

В логи не пишите