Чем заняться ИБшнику во время длинных выходных: выбрать фреймворк для ИБ

02.04.2020 Борисов Сергей , ведущий инженер нИБ
Раз уж получилось, что выходные затягиваются, а из дома выходить нельзя – это хорошая возможность для специалистов поИБ прокачать свои компетенции. Есть различные способы, но в рамках данной статьи поговорим про фреймворки ИБ.
В прошлойстатье мы рассмотрели на каких стендах можно потренироваться техническим специалистам ИБ. Но для CISO тоже есть чем заняться.
Для чего нужен фреймворк ИБ в вашей организации?

·       

для того чтобы применяемые меры ИБ не были хаотическими и противоречащими друг другу

·       

для того чтобы увязать в одном цели бизнеса, требования законодательства и особенности используемых технологий

·       

для того чтобы мы могли определить приоритеты и порядок внедрения мер защиты

·       

для того чтобы зрелость процессов защиты было согласована с текущей зрелостью ИТ и бизнеса

В качестве фреймворков для ИБ я бы рассматривал следующие стандарты/лучшие практики:

·       

ISO 27001

·       

CIS Controls

·       

NIST Cyber Security Framework

·       

Приказы ФСТЭК 17/21/235/239

·       

СТО БР ИББС/ГОСТ 57580

Как выбрать подходящий для вашей организации Framework?

·       

поможет решить указанные выше задачи

·       

регулярно обновляется

·       

есть сопутствующие фреймворку документы, которые помогают оценить угрозы, выбрать меры, реализовать меры, оценить степень выполнения мер

·       

не только технические меры, но и управление ИБ

Например, почему раньше был хорош СТО БР ИББС?

·       

разработка сообществом

·       

регулярно обновлялся,

·       

имел методики оценки,

·       

модель зрелости

·       

сопутствующие полезные документы

Поэтому встречались компании не из финансовой сферы, которые брали его за фреймворк для своей ИБ. Посмотрим, сможет ли сейчас ГОСТ 57580 занять его место.
А приказы ФСТЭК 17/21/235/239?

·       

часть не обновлялась 7 лет

·       

нет связи с угрозами

·       

не согласованы между собой

·       

нет модели зрелости или степеней внедрения

·       

нет пояснений по отдельным мерам

У меня в блоге было достаточно много статей по лучшим практикам и фреймворкам. Возможно это поможет вам с выбором.
Также хорошая статья по выбору фреймворка была у Алексея Лукацкого.
Если приведенных фреймворков мало, то посмотрите ещё в подборке Андрея Прозорова.
Ну и конечно же отмечу недавнее видео Ильи Борисова про фреймворки ИБ. Это обязательно к просмотру, поэтому привожу ниже.

Основная мысль из всего этого – прежде чем делать что-то по ИБ в компании, выбери фреймворк и далее везде его используй. Идея простая, но во многих компаниях все ещё не выбрали…

Далее вам скорее всего понадобиться сделать маппинг(связь) между этим фреймворком и всеми иными требованиями. Например, вы выбрали NIST CSF и вам нужно будет сопоставить их с приказами ФСТЭК/ФСБ, постановлениями правительства РФ. Кстати, тут призываю к совместному творчеству – сбережем друг другу время, без потери качества результата.