Чем заняться ИБшнику во время длинных выходных: выбрать фреймворк для ИБ


Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ.
В прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для CISO тоже есть чем заняться.

Для чего нужен фреймворк ИБ в вашей организации?
·        для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу
·        для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий
·        для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты
·        для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса
В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики:
·        ISO 27001
·        CIS Controls
·        NIST Cyber Security Framework
·        Приказы ФСТЭК 17/21/235/239
·        СТО БР ИББС/ГОСТ 57580
Как выбрать подходящий для вашей организации Framework?
·        поможет решить указанные выше задачи
·        регулярно обновляется
·        есть сопутствующие фреймворку документы, которые помогают оценить угрозы, выбрать меры, реализовать меры, оценить степень выполнения мер
·        не только технические меры, но и управление ИБ
Например, почему раньше был хорош СТО БР ИББС?
·        разработка сообществом
·        регулярно обновлялся,
·        имел методики оценки,
·        модель зрелости
·        сопутствующие полезные документы
Поэтому встречались компании не из финансовой сферы, которые брали его за фреймворк для своей ИБ. Посмотрим, сможет ли сейчас ГОСТ 57580 занять его место.
А приказы ФСТЭК 17/21/235/239?
·        часть не обновлялась 7 лет
·        нет связи с угрозами
·        не согласованы между собой
·        нет модели зрелости или степеней внедрения
·        нет пояснений по отдельным мерам
У меня в блоге было достаточно много статей по лучшим практикам и фреймворкам. Возможно это поможет вам с выбором.

Также хорошая статья по выбору фреймворка была у Алексея Лукацкого.
Если приведенных фреймворков мало, то посмотрите ещё в подборке Андрея Прозорова.

Ну и конечно же отмечу недавнее видео Ильи Борисова про фреймворки ИБ. Это обязательно к просмотру, поэтому привожу ниже.

Основная мысль из всего этого – прежде чем делать что-то по ИБ в компании, выбери фреймворк и далее везде его используй. Идея простая, но во многих компаниях все ещё не выбрали…

Далее вам скорее всего понадобиться сделать маппинг(связь) между этим фреймворком и всеми иными требованиями. Например, вы выбрали NIST CSF и вам нужно будет сопоставить их с приказами ФСТЭК/ФСБ, постановлениями правительства РФ. Кстати, тут призываю к совместному творчеству – сбережем друг другу время, без потери качества результата.


Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

КИИ. Категорирование объектов, часть 3

Изображение
Продолжаем проводить категорирование объекта КИИ на примере организации сферы здравоохранения. На предыдущем этапе мы выявили критические процессы организации. Теперь определяем объекты КИИ и отправляем их на согласование (этап простой и очевидный, но постараюсь добавить несколько полезных моментов) 3. Определение объектов КИИ Продолжаем начатое на прошлых этапах (а можно и совместить 1-3) общение с руководителями подразделений. Спрашиваем какие ИС или АСУ обрабатывают информацию, необходимую для обеспечения выявленных критических процессов, и (или) осуществляют управление, контроль или мониторинг критических процессов. Отдельно в ИТ подразделении получаем полный перечень ИС (он должен был готовится в рамках мероприятий по ПДн) и АСУ, совместно с ИТ выкидываем из перечня ИС, не связанные с критическими процессами (как правило, кадровые, бухгалтерские, отчетность, банк-клиенты). В результате, того, что данные об ИС и АСУ получены не из одного источника, гарантируется его ...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...