среда, 24 февраля 2016 г.

5 скомпрометировавших себя терминов в ИБ

    Информационная безопасность долгие годы являлась закрытой темой военных и ученых, и не сказать что бы для обычного человека ситуация поменялась. Производители решений культивируют свою "избранность", запугивают неспециалистов растущими неотразимыми постоянными угрозами. Но даже в такой "мутной" теме есть свои чемпионы по "мутности". Целый ряд терминов из-за своей размытости, неопределенности и спорной полезности себя скомпрометировал, в том числе и 5 следующих:

  1. SOC - термин употребляется в добром десятке значений, от "автоматизации управления инцидентами" до аналога термина SIEM, и каждое новое значение вносит путаницу насколько тематика полезна для конкретной организации.
  2. Управление рисками ИБ - термин зарекомендовал себя как шаманство. Самые искусные шаманы умеют прыгать вокруг костра настолько красиво, что бизнес соглашается с их оценками. Менее искусные не понимают почему у них ничего не получается и результат не вопроизводится.
  3. Аудит ИБ - аудитом можно назвать почти что угодно - от сканирования сети nmap,  до полномасштабной проверки состояния безопасности в федеральной организации с выработкой рекомендаций и контролем их внедрения.
  4. Безопасность приложений - производители средств анализа кода активно продвигают равенство "безопасность приложений = анализ кода". Но ведь код без ошибок не спасет от ошибок в проектировании ролевой модели или отсутствия сертификации доступа.
  5. Лучшие практики - каждый второй вендор считает своим долгом опубликовать "лучшие практики". Почему они лучшие, кто их использует и какие результаты дает их внедрение?

    Среди будущих кандидатов на "чемпионство" термин аналитика безопасности - security analytics, термин настолько универсальный что Гартнер даже выпустила отдельную книжку по нему. Главная проблема в том, что ИБ меняется настолько быстро, что за ней никакой ГОСТ не успеет. Возможно, каждой организации стоит выбрать себе свод международных практик (например, CobIT) и пользоваться его терминологией.

Комментариев нет:

Отправить комментарий