Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Чем заняться ИБшнику во время длинных выходных: выбрать фреймворк для ИБ

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()

Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ.

В прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для CISO тоже есть чем заняться.


Для чего нужен фреймворк ИБ в вашей организации?

·        для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу

·        для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий

·        для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты

·        для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса

В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики:

·        ISO 27001

·        CIS Controls

·        NIST Cyber Security Framework

·        Приказы ФСТЭК 17/21/235/239

·        СТО БР ИББС/ГОСТ 57580

Как выбрать подходящий для вашей организации Framework?

·        поможет решить указанные выше задачи

·        регулярно обновляется

·        есть сопутствующие фреймворку документы, которые помогают оценить угрозы, выбрать меры, реализовать меры, оценить степень выполнения мер

·        не только технические меры, но и управление ИБ

Например, почему раньше был хорош СТО БР ИББС?

·        разработка сообществом

·        регулярно обновлялся,

·        имел методики оценки,

·        модель зрелости

·        сопутствующие полезные документы

Поэтому встречались компании не из финансовой сферы, которые брали его за фреймворк для своей ИБ. Посмотрим, сможет ли сейчас ГОСТ 57580 занять его место.

А приказы ФСТЭК 17/21/235/239?

·        часть не обновлялась 7 лет

·        нет связи с угрозами

·        не согласованы между собой

·        нет модели зрелости или степеней внедрения

·        нет пояснений по отдельным мерам

У меня в блоге было достаточно много статей по лучшим практикам и фреймворкам. Возможно это поможет вам с выбором.


Также хорошая статья по выбору фреймворка была у Алексея Лукацкого.

Если приведенных фреймворков мало, то посмотрите ещё в подборке Андрея Прозорова.

Ну и конечно же отмечу недавнее видео Ильи Борисова про фреймворки ИБ. Это обязательно к просмотру, поэтому привожу ниже.


Основная мысль из всего этого – прежде чем делать что-то по ИБ в компании, выбери фреймворк и далее везде его используй. Идея простая, но во многих компаниях все ещё не выбрали…


Далее вам скорее всего понадобиться сделать маппинг(связь) между этим фреймворком и всеми иными требованиями. Например, вы выбрали NIST CSF и вам нужно будет сопоставить их с приказами ФСТЭК/ФСБ, постановлениями правительства РФ. Кстати, тут призываю к совместному творчеству – сбережем друг другу время, без потери качества результата.



 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.