четверг, 18 августа 2011 г.

Книга: Разработка правил информационной безопасности #security



   Просмотрел интересную книгу - "Разработка правил информационной безопасности" от Скотта Бармена (американский аналитик и архитектор ИБ с 20-летним опытом).

   Кроме общих советов (как получить поддержку руководства, что должно быть в правилах, согласование и внедрение правил и т.п.) было рассмотрено написание следующих документов (с кратким резюме после рассмотрения написания документа):
  • политика информационной безопасности
  • правила физической безопасности
  • правила аутентификации и безопасности сети
  • правила безопасности Интернет
  • правила безопасности электронной почты  (в т.ч. предоставлен пример таких правил)
  • правила защиты от вирусов (+ пример)
  • правила разработки ПО
  • правила криптографической защиты
  • правила надежной работы (+ пример)
  • правила администрирования (+ пример)
    Интересной так же является отсылка к интересной концепции в ИБ (к живучести т.е. способности системы выполнять свои процессы и задачи во время атак, сбоев и катастроф) от СERT.
   В целом книга достаточно подробно описывает что нужно вложить в те или иные правила информационной безопасности (что и не удивительно, учитывая 20-летний опыт автора), единственным замечанием могло бы быть только отсутствие интеграции материала подаваемого в книгу с best practices (есть отсылки на NIST и SANS но этого как-то маловато).
P.S. Отдельно умилило замечание про то, что нужно доверять оценку риска внешним консультантам, так как внутренние специалисты слишком (sіc!) хорошо знают технологические процессы и могут не суметь отличить технологические риски от технических (не самое актуальное для СНГ наблюдение, так как средний опыт специалиста по безопасности гораздо ниже - достаточно заметить, что в США хватает вакансий с требованием 10-15 лет опыта в сфере ИБ).

Хорошего дня!

Комментариев нет:

Отправить комментарий