BIS Journal №2(45)/2022

16 июня, 2022

Семь аудитов на сундук безопасника

Информационная безопасность — занятие непростое, особенно там, где она сталкивается с реальностью: печально известные Security Operations. Из-за постоянно меняющегося ландшафта угроз (а зачастую — и самой ИT-инфраструктуры) отовсюду лезут и лезут проблемы: то логи перестали приходить, то инцидент неправильно отработали, то пентестеры опять поломали всю сеть. В общем, «то лапы ломит, то хвост отваливается», как в одном известном советском мультфильме.

После определённого количества серьёзных проблем высшее руководство обычно начинает искать пути их решения. На самый долгий, сложный и дорогой (нанять больше людей, выстроить процессы и автоматизировать по максимуму рутинные задачи) решаются немногие — что неудивительно, учитывая то, что собственный SOC — удовольствие и так недешёвое. И тут на помощь руководству спешат консультанты. Дорвавшись до высокой аудиенции, они демонстрируют простой и понятный план: давайте мы проведём аудит всего, напишем рекомендации — а вам только и останется воплотить их в жизнь и наслаждаться результатами.

Звучит, может быть, и здорово — но вот в реальности прекрасная идея оборачивается совсем другим. И без того замотанные текущими задачами подразделения безопасности вынуждены теперь тратить драгоценное время на внеплановые совещания и заполнение бесчисленных табличек в «Экселе», которые отправляются аудиторам на «проверку». И потом всё бумерангом возвращается в виде вопросов, уточнений и вороха рекомендаций. А вот дополнительного времени и ресурсов на эту активность, как правило, никто не даёт.

Я несколько лет работаю в SOC одной зарубежной компании, и мой личный рекорд на данный момент — это, кажется, четыре параллельно идущих аудита в один месяц. При этом каждый аудитор клятвенно уверял, что его вопросы срочные и требуют немедленного внимания. Вот бы ещё и работать успевать при таких вводных...

В общем, если кто-то из читающих этот выпуск делает подобное у себя — не надо так. А вот как надо:

— перед принятием решения об аудите соберите обратную связь от команды

— наверняка они сами назовут какие-то критичные проблемы, которые имеет смысл решить сразу же;

— чётко определите цели аудита (и, желательно, согласуйте их с подразделением, где он будет проходить);

— по возможности — обходитесь теми аудитами, которые являются обязательными (например, проводимыми в рамках PCI DSS), не плодите лишние сущности;

— обеспечьте достаточные ресурсы и временны́е рамки для устранения выявленных замечаний;

— в любом случае не допускайте нескольких аудитов, идущих одновременно. Расставьте приоритеты и оставьте какой-то один. Закончите его, отработайте замечания — и только потом переходите к следующему.

 

И операционная безопасность скажет вам спасибо.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

26.09.2022
Минцифры формирует свой ИТ-резерв
26.09.2022
О новых техносанкциях от Евросоюза
26.09.2022
Теперь Таджикистан? Банк Dushanbe City утратил контакт с «Миром»
26.09.2022
Новый выход Anonymous. Группа объявила кибервойну Ирану
25.09.2022
Модели угроз, выстроенные ФСТЭК, в целом оправдали себя
25.09.2022
Банк России строит свой подход от рисков
24.09.2022
Эволюция технологий, единство людей. Открыта регистрация на SOC-Форум 2022
24.09.2022
«Стать перед зеркалом, признаться и покаяться»
23.09.2022
Узбекистан приостановил обслуживание карт «Мир». Не всех и временно
23.09.2022
«Чтобы финансовая система продолжила работать бесперебойно»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных