Просмотрел интересную книгу - "Разработка правил информационной безопасности" от Скотта Бармена (американский аналитик и архитектор ИБ с 20-летним опытом).
Кроме общих советов (как получить поддержку руководства, что должно быть в правилах, согласование и внедрение правил и т.п.) было рассмотрено написание следующих документов (с кратким резюме после рассмотрения написания документа):
Кроме общих советов (как получить поддержку руководства, что должно быть в правилах, согласование и внедрение правил и т.п.) было рассмотрено написание следующих документов (с кратким резюме после рассмотрения написания документа):
- политика информационной безопасности
- правила физической безопасности
- правила аутентификации и безопасности сети
- правила безопасности Интернет
- правила безопасности электронной почты (в т.ч. предоставлен пример таких правил)
- правила защиты от вирусов (+ пример)
- правила разработки ПО
- правила криптографической защиты
- правила надежной работы (+ пример)
- правила администрирования (+ пример)
Интересной так же является отсылка к интересной концепции в ИБ (к живучести т.е. способности системы выполнять свои процессы и задачи во время атак, сбоев и катастроф) от СERT.
В целом книга достаточно подробно описывает что нужно вложить в те или иные правила информационной безопасности (что и не удивительно, учитывая 20-летний опыт автора), единственным замечанием могло бы быть только отсутствие интеграции материала подаваемого в книгу с best practices (есть отсылки на NIST и SANS но этого как-то маловато).
P.S. Отдельно умилило замечание про то, что нужно доверять оценку риска внешним консультантам, так как внутренние специалисты слишком (sіc!) хорошо знают технологические процессы и могут не суметь отличить технологические риски от технических (не самое актуальное для СНГ наблюдение, так как средний опыт специалиста по безопасности гораздо ниже - достаточно заметить, что в США хватает вакансий с требованием 10-15 лет опыта в сфере ИБ).
Хорошего дня!
Комментариев нет:
Отправить комментарий