пятница, 11 октября 2013 г.

Почему 20 критичных контролей SANS нужно применять осторожно

     В индустрии очень много инженеров и математиков (физиков), гуманитариев (лириков) и очень мало сочетающих бизнес и технические компетенции людей. Это приводит к тому, что появление очередного общедоступного свода лучших практик практик части воспринимается с восторгом, некритично (ведь это или еще один аргумент за внедрение технических систем или еще один совет как правильно построить ИБ), и почти немедленно направляется на внедрение.


     Казалось бы - а что плохого в таких лучших практиках?:) Все банально, практики настолько хорошо (красиво) сделаны, что они часто воспринимаются как альтернатива построения системы информационной безопасности. Т.е., например, "Twenty Critical Security Controls for Effective Cyber Defense" приравниваются к "Twenty Critical Security Controls for Effective Information Security" и пошла, поехала... а ведь данный фреймворк помогает решать всего одну задачу ИБ - снижение урона от операционных рисков (повышение защищенности).

     Но, разве не озвученная задача и есть основной задачей ИБ?.. Вряд ли, в современной корпорации есть и другие проблемы - от обеспечения соответствия финансовым и privacy-требованиям (стейкхолдеры - CFO, CLO), борьбы с мошенничеством (CEO\CFO\CSO) и до поддержки развития бизнеса через внедрение требований контрагентов (ISO 27001, HIPAA и т.п.), и тут выясняется интересное -  повышение осведомленности и управление доступом (базовые контроли для упомянутых задач ИБ) являются аж 9-ым и 15-ым приоритетом SANS, поэтому в целях реализации сразу нескольких задач ИБ (не только защищенности) данный фреймворк будет, пожалуй, одним из худших. Ведь обычно все таки процессы повышения осведомленности и управления доступом все таки или имеют более высокий приоритет или хотя бы не менее высокий (когда приоритезации в явном виде нет).

   P.S. Да и для задачи повышения защищенности столь низкий приоритет упомянутых процессов довольно странен, ведь декларируемая цель защиты от целевых атак не бьется с поздним началом работы с пользователями (основным вектором атаки целевых атак ведь являются фишинговые рассылки;) и поздним внедрением управления доступом (авторы не думали о возможности целевого подкупа сотрудника, теперь получающего доступ практически ко всему)?

   

   

Комментариев нет:

Отправить комментарий