Чем заняться ИБшнику во время длинных выходных: выбрать фреймворк для ИБ


Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ.
В прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для CISO тоже есть чем заняться.

Для чего нужен фреймворк ИБ в вашей организации?
·        для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу
·        для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий
·        для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты
·        для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса
В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики:
·        ISO 27001
·        CIS Controls
·        NIST Cyber Security Framework
·        Приказы ФСТЭК 17/21/235/239
·        СТО БР ИББС/ГОСТ 57580
Как выбрать подходящий для вашей организации Framework?
·        поможет решить указанные выше задачи
·        регулярно обновляется
·        есть сопутствующие фреймворку документы, которые помогают оценить угрозы, выбрать меры, реализовать меры, оценить степень выполнения мер
·        не только технические меры, но и управление ИБ
Например, почему раньше был хорош СТО БР ИББС?
·        разработка сообществом
·        регулярно обновлялся,
·        имел методики оценки,
·        модель зрелости
·        сопутствующие полезные документы
Поэтому встречались компании не из финансовой сферы, которые брали его за фреймворк для своей ИБ. Посмотрим, сможет ли сейчас ГОСТ 57580 занять его место.
А приказы ФСТЭК 17/21/235/239?
·        часть не обновлялась 7 лет
·        нет связи с угрозами
·        не согласованы между собой
·        нет модели зрелости или степеней внедрения
·        нет пояснений по отдельным мерам
У меня в блоге было достаточно много статей по лучшим практикам и фреймворкам. Возможно это поможет вам с выбором.

Также хорошая статья по выбору фреймворка была у Алексея Лукацкого.
Если приведенных фреймворков мало, то посмотрите ещё в подборке Андрея Прозорова.

Ну и конечно же отмечу недавнее видео Ильи Борисова про фреймворки ИБ. Это обязательно к просмотру, поэтому привожу ниже.

Основная мысль из всего этого – прежде чем делать что-то по ИБ в компании, выбери фреймворк и далее везде его используй. Идея простая, но во многих компаниях все ещё не выбрали…

Далее вам скорее всего понадобиться сделать маппинг(связь) между этим фреймворком и всеми иными требованиями. Например, вы выбрали NIST CSF и вам нужно будет сопоставить их с приказами ФСТЭК/ФСБ, постановлениями правительства РФ. Кстати, тут призываю к совместному творчеству – сбережем друг другу время, без потери качества результата.


Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3