Некоторое время назад я купил и прочитал книгу Pragmatic CSO от Mike Rothman. В нашей реальности книгу скорее надо было бы назвать "Эффективный CISO", т.к. американский CSO обычно равен нашему CISO (нет в Арканзасщине понятия экономической безопасности, а услугами ЧОПов вполне сносно управляет административный директор).
Книга грубо говоря замечательна. Если вдаться в детали, то я смог сформулировать всего пару вопросов автору (на которые он весьма оперативно ответил), хотя я проштудировал ее от корки до корки и набросал тезисы по ее мотивам.
В книге описан полный цикл работы нового CISO в организации, что не отличается большим размеров и значимым ИБ бюджетом, и в общем не сильно заморочена безопасностью (не финансовая организация, не здравоохранение, не телеком - обычный заводик или там торговая фирма). В такой организации перед CISO встает почти максимум вызовов (ну разве что Анонимусы пренебрегут атакой на такую фирму, т.к. эти парни капризны и любят атаковать мировые бренды).
Отдельная особенность - введение к каждой главе (всего их 12) представлено в виде диалогов новоназначенного CISO с фасилитатором (фактически коучем). Диалоги нескучные:)
Итак, далее приведу законспектированные мной тезисы в привычном мне разрезе доменов.
Оценка текущего состояния ИБ
Повышение осведомлённости.
Бенчмаркинг и измерение ИБ.
Комплаенс и взаимодействие с внешним аудитом.
Книга грубо говоря замечательна. Если вдаться в детали, то я смог сформулировать всего пару вопросов автору (на которые он весьма оперативно ответил), хотя я проштудировал ее от корки до корки и набросал тезисы по ее мотивам.
В книге описан полный цикл работы нового CISO в организации, что не отличается большим размеров и значимым ИБ бюджетом, и в общем не сильно заморочена безопасностью (не финансовая организация, не здравоохранение, не телеком - обычный заводик или там торговая фирма). В такой организации перед CISO встает почти максимум вызовов (ну разве что Анонимусы пренебрегут атакой на такую фирму, т.к. эти парни капризны и любят атаковать мировые бренды).
Отдельная особенность - введение к каждой главе (всего их 12) представлено в виде диалогов новоназначенного CISO с фасилитатором (фактически коучем). Диалоги нескучные:)
Итак, далее приведу законспектированные мной тезисы в привычном мне разрезе доменов.
Домен 1. Security Governance
Идентификация объектов защиты - критичных бизнес систем:- Определение целей защиты бизнес систем - защита интеллектуальной собственности и клиентских данных, защита корпоративной репутации и т.п.
- Определить критичные для бизнеса системы. Например, ERP состоящую из всего ПО и поддерживающих серверов.
- Оценить качественно собрав мнение руководителей бизнеса. Количественные оценки неточны, завышены и сложны в рассчете. Собирать мнение не только CEO, CIO и CFO но и руководителей бизнес-единиц.
- Создать график распределения по оценкам, распределение должно в целом соответствовать кривой Белла.
- Создать общее видение о критичности систем, согласовав график с руководителями.
Домен 2. Security Management
Оценка текущего состояния ИБ- Пентест.
- Оценка текущих политик ИБ - документов.
- Оценка навыков команды ИБ.
- Оценка последних значимых инцидентов.
- Оценка знаний и отношения пользователей к ИБ.
- Оценка отношения внутренних клиентов к команде ИБ.
- Подготовка тактического плана по ИБ.
- Подготовка презентации по программе ИБ в целом.
- Презентация программы ИБ менеджменту.
- Выполнение программы и регулярная отчетность раз в пару месяцев.
- Подготовка бизнес плана.
- Определение целевого состояния.
- Определение дорожной карты и контрольных точек прогресса и отчетности.
Домен 3. Security Operations
Организация сервисов безопасности:- Default Deny.
- Getting Security Things Done (GSTD).
- Security Dashboard.
- Outsourcing.
Повышение осведомлённости.
Домен 4. Продвижение ИБ и отчетность (Communicating Value).
Постоянная оценка уровня ИБ.Бенчмаркинг и измерение ИБ.
Комплаенс и взаимодействие с внешним аудитом.
Комментариев нет:
Отправить комментарий