среда, 21 сентября 2016 г.

Обзор книги "Эффективный CISO" от Майка Ротмана

    Некоторое время назад я купил и прочитал книгу Pragmatic CSO от Mike Rothman. В нашей реальности книгу скорее надо было бы назвать "Эффективный CISO", т.к. американский CSO обычно равен нашему CISO (нет в Арканзасщине понятия экономической безопасности, а услугами ЧОПов вполне сносно управляет административный директор).

    Книга грубо говоря замечательна. Если вдаться в детали, то я смог сформулировать всего пару вопросов автору (на которые он весьма оперативно ответил), хотя я проштудировал ее от корки до корки и набросал тезисы по ее мотивам.
    В книге описан полный цикл работы нового CISO в организации, что не отличается большим размеров и значимым ИБ бюджетом, и в общем не сильно заморочена безопасностью (не финансовая организация, не здравоохранение, не телеком - обычный заводик или там торговая фирма). В такой организации перед CISO встает почти максимум вызовов (ну разве что Анонимусы пренебрегут атакой на такую фирму, т.к. эти парни капризны и любят атаковать мировые бренды).
    Отдельная особенность - введение к каждой главе (всего их 12) представлено в виде диалогов новоназначенного CISO с фасилитатором (фактически коучем). Диалоги нескучные:)
    Итак, далее приведу законспектированные мной тезисы в привычном мне разрезе доменов.

Домен 1. Security Governance

Идентификация объектов защиты - критичных бизнес систем:
  1. Определение целей защиты бизнес систем - защита интеллектуальной собственности и клиентских данных, защита корпоративной репутации и т.п.
  2. Определить критичные для бизнеса системы. Например, ERP состоящую из всего ПО и поддерживающих серверов.
  3. Оценить качественно собрав мнение руководителей бизнеса. Количественные оценки неточны, завышены и сложны в рассчете. Собирать мнение не только CEO, CIO и CFO но и руководителей бизнес-единиц.
  4. Создать график распределения по оценкам, распределение должно в целом соответствовать кривой Белла.
  5. Создать общее видение о критичности систем, согласовав график с руководителями.

Домен 2. Security Management

Оценка текущего состояния ИБ
  1. Пентест.
  2. Оценка текущих политик ИБ - документов.
  3. Оценка навыков команды ИБ.
  4. Оценка последних значимых инцидентов.
  5. Оценка знаний и отношения пользователей к ИБ.
  6. Оценка отношения внутренних клиентов к команде ИБ.
Управление ожиданиями
  1. Подготовка тактического плана по ИБ.
  2. Подготовка презентации по программе ИБ в целом.
  3. Презентация программы ИБ менеджменту.
  4. Выполнение программы и регулярная отчетность раз в пару месяцев.
Подготовка бизнес плана по ИБ:
  1. Подготовка бизнес плана.
  2. Определение целевого состояния.
  3. Определение дорожной карты и контрольных точек прогресса и отчетности.
Продажа/защита бюджета и закупка решения.

Домен 3. Security Operations

Организация сервисов безопасности:
  1. Default Deny.
  2. Getting Security Things Done (GSTD).
  3. Security Dashboard.
  4. Outsourcing.
Реагирование на инциденты.
Повышение осведомлённости.

Домен 4. Продвижение ИБ и отчетность (Communicating Value).

Постоянная оценка уровня ИБ.
Бенчмаркинг и измерение ИБ.
Комплаенс и взаимодействие с внешним аудитом.

Комментариев нет:

Отправить комментарий