Раз процессный подход является главным ключом к исо27тыщам, сделаю-ка его понятным в дополнение к знаменитому. Во чем уже приходится разбрасываться, компенсируя недостаточную интенсивность блогонаполнения, но ничего – не последний огурец режу, не счесть еще роялей в каменных пороховницах.
Никогда не замечали удивительную популярность QM-базированных стандартов в странах с дхармическими религиями? А всё просто – у их мира тот же колесный привод, неспроста Деминг именно там до PDCA допер на радость всяким Шухартам.
В это трудно поверить, но секрет соответствия системы управления информационной безопасностью исо27тыщам в том, что вся она должна быть ввергнута в состояние непрекращающегося ремонта. В каждом своем элементе.
Европейцу это странно - круговорот воспринимается им как нечто негативное, с чем можно мириться, но никак не стремиться создавать. Европеец привык созидать стабильное, а если переменчива среда существования, то все равно созидать стабильное, но периодически. У него проектное мышление, не процессное.
На примере.
Патч-менеджмент в западном стиле: запустить аналайзер, получить отчет, добиться устранения критических уязвимостей, через полгода опять запустить аналайзер, получить отчет, добиться устранения критических уязвимостей, через полгода опять...
Патч-менеджмент в юго-восточном стиле: составить список используемого ПО, посадить кого-то на отслеживание выхода критических патчей к этому ПО и информирование админов, у админов наладить процедуру установки (с тестированием, естественно, с возможностью отката, регистрацией факта и пр.) и иногда проверять соблюдение.
Если вы еще не поняли, фишка в средней продолжительности наличия критической дыры в системе, а это вполне себе показатель защищенности.
Хочется сострить про патч-менеджмент а ля рюс, но это уже в комментах, т.к. до конца не сформулировал.
Вообще говоря, процессы совершенствования СУИБ не являются бесконечными – это обычная задача многофакторной оптимизации, и к ней впору было бы подходить с обычными монтекарлами и лучшими пробами, будь она формализована, и слово continious читателей стандарта только зря путает, и оправдать авторов можно только если допустить, что они закладывались на изменение условий за время поиска.
Но важно понять и принять ее не-одноходовость. Невозможно во всех ста с хреном защитных мерах и тысячах пунктов десятков документов с первого раза попасть в яблочко.
Тема замороченная, поэтому бью на части. Окончание следует.
В качестве якоря можно нагуглить детский анекдот про вечный кайф - это где слон и мышка.
6 комментариев:
Если не ждать выхода патча, а закрываться на файрволе, то время жизни дырки еще меньше!
Анонимному:
Конечно. Но это мера из vulnerability management, который шире, чем patch management. Я брал только второй и лишь для иллюстрации отвлеченного тезиса, а не всестороннего освещения.
Обещал подумать над вариантом а ля рус - так вот в нем определенно должен фигурировать ахеренно умный админ из разряда "сибирские админы настолько суровы, что не признают ничего, кроме своего ахеренного ума". Отечественный подход - довериться такому гению, и тем поставить безопасность (т.е. бизнес) в зависимость от взглядов, занятости или настроения индивида.
Анлнимному
Расскажите, пожалуйста, поподробнее: как на файрволе закрытся от эксплуатации уязвимостей в браузерах, Adobe Flash, MS Office :)
Педант )))
Оффтоп:
Обещанный ответ о типовых ИСПДн
С уважением, Аветян А.Л. aka attendantofwood
Отправить комментарий