Новый Год уже наступил, и если кто еще не решил чем в нем заниматься то предлагаю рассмотреть возможность защищать интересы стейкхолдеров закрывая уязвимости;)
Уязвимостей и основных средств борьбы с ними я насчитал 4 типа:
P.S. "Закладки" опущены сознательно, т.к. с одной стороны бороться с ними сложно, а с другой - не верится мне, что такой риск больно актуален.
Уязвимостей и основных средств борьбы с ними я насчитал 4 типа:
- программные уязвимости - лечим патч-менеджментом (нам в этом помогает драфт NIST SP 800-40 rev3 и вендоры, например, MS Security Update Guide)
- уязвимости конфигурации - лечим безопасными конфигурациями (нам в этом репозиторий стандартов конфигурации все того же NIST и бесплатная надстройка над MS SCCM для проверки соответствия конфигурации используя формат данных SCAP)
- уязвимости архитектуры - лечим анализом рисков во время проектов внедрения новых систем (например, используя соответствующий раздел британского Information Assurance Governance Framework) и применением контролей (в т.ч. технических, в чем нам поможет репозиторий аттестованных по Common Criteria продуктов)
- уязвимости процессов поддержки - лечим анализом процессов и разумным уровнем соответствия бестпрактисам (ITIL\ГОСТ 18322) , в чем помогут соответствующие стандарты;)
P.S. "Закладки" опущены сознательно, т.к. с одной стороны бороться с ними сложно, а с другой - не верится мне, что такой риск больно актуален.
Комментариев нет:
Отправить комментарий