Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ.
В
прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для
CISO тоже есть чем заняться.
Для чего нужен фреймворк ИБ в вашей организации?
· для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу
· для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий
· для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты
· для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса
В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики:
· ISO 27001
· CIS Controls
· NIST Cyber Security Framework
· Приказы ФСТЭК 17/21/235/239
· СТО БР ИББС/ГОСТ 57580
Как выбрать подходящий для вашей организации Framework?
· поможет решить указанные выше задачи
· регулярно обновляется
· есть сопутствующие фреймворку документы, которые помогают оценить угрозы, выбрать меры, реализовать меры, оценить степень выполнения мер
· не только технические меры, но и управление ИБ
Например, почему раньше был хорош СТО БР ИББС?
· разработка сообществом
· регулярно обновлялся,
· имел методики оценки,
· модель зрелости
· сопутствующие полезные документы
Поэтому встречались компании не из финансовой сферы, которые брали его за фреймворк для своей ИБ. Посмотрим, сможет ли сейчас ГОСТ 57580 занять его место.
А приказы ФСТЭК 17/21/235/239?
· часть не обновлялась 7 лет
· нет связи с угрозами
· не согласованы между собой
· нет модели зрелости или степеней внедрения
· нет пояснений по отдельным мерам
Ну и конечно же отмечу недавнее видео Ильи Борисова про фреймворки ИБ. Это обязательно к просмотру, поэтому привожу ниже.
Основная мысль из всего этого –
прежде чем делать что-то по ИБ в компании,
выбери фреймворк и далее везде его используй. Идея простая, но во многих компаниях все ещё не выбрали…
Далее вам скорее всего понадобиться сделать маппинг(связь) между этим фреймворком и всеми иными требованиями. Например, вы выбрали NISTCSF и вам нужно будет сопоставить их с приказами ФСТЭК/ФСБ, постановлениями правительства РФ. Кстати, тут призываю к совместному творчеству – сбережем друг другу время, без потери качества результата.
Поделиться