BIS Journal №2(45)/2022

16 июня, 2022

Семь аудитов на сундук безопасника

Информационная безопасность — занятие непростое, особенно там, где она сталкивается с реальностью: печально известные Security Operations. Из-за постоянно меняющегося ландшафта угроз (а зачастую — и самой ИT-инфраструктуры) отовсюду лезут и лезут проблемы: то логи перестали приходить, то инцидент неправильно отработали, то пентестеры опять поломали всю сеть. В общем, «то лапы ломит, то хвост отваливается», как в одном известном советском мультфильме.

После определённого количества серьёзных проблем высшее руководство обычно начинает искать пути их решения. На самый долгий, сложный и дорогой (нанять больше людей, выстроить процессы и автоматизировать по максимуму рутинные задачи) решаются немногие — что неудивительно, учитывая то, что собственный SOC — удовольствие и так недешёвое. И тут на помощь руководству спешат консультанты. Дорвавшись до высокой аудиенции, они демонстрируют простой и понятный план: давайте мы проведём аудит всего, напишем рекомендации — а вам только и останется воплотить их в жизнь и наслаждаться результатами.

Звучит, может быть, и здорово — но вот в реальности прекрасная идея оборачивается совсем другим. И без того замотанные текущими задачами подразделения безопасности вынуждены теперь тратить драгоценное время на внеплановые совещания и заполнение бесчисленных табличек в «Экселе», которые отправляются аудиторам на «проверку». И потом всё бумерангом возвращается в виде вопросов, уточнений и вороха рекомендаций. А вот дополнительного времени и ресурсов на эту активность, как правило, никто не даёт.

Я несколько лет работаю в SOC одной зарубежной компании, и мой личный рекорд на данный момент — это, кажется, четыре параллельно идущих аудита в один месяц. При этом каждый аудитор клятвенно уверял, что его вопросы срочные и требуют немедленного внимания. Вот бы ещё и работать успевать при таких вводных...

В общем, если кто-то из читающих этот выпуск делает подобное у себя — не надо так. А вот как надо:

— перед принятием решения об аудите соберите обратную связь от команды

— наверняка они сами назовут какие-то критичные проблемы, которые имеет смысл решить сразу же;

— чётко определите цели аудита (и, желательно, согласуйте их с подразделением, где он будет проходить);

— по возможности — обходитесь теми аудитами, которые являются обязательными (например, проводимыми в рамках PCI DSS), не плодите лишние сущности;

— обеспечьте достаточные ресурсы и временны́е рамки для устранения выявленных замечаний;

— в любом случае не допускайте нескольких аудитов, идущих одновременно. Расставьте приоритеты и оставьте какой-то один. Закончите его, отработайте замечания — и только потом переходите к следующему.

 

И операционная безопасность скажет вам спасибо.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

19.06.2024
Технологический суверенитет: инновации, импортозамещение, кадры
19.06.2024
Мнение: Контроль чужих данных до их безопасной передачи подрывает саму суть шифрования
19.06.2024
Мошенники могут получать ПДн россиян из слитых медицинских баз
18.06.2024
ИИ в «Авроре»? Либо внутри устройства, либо в отечественном «облаке»
18.06.2024
ФНС автоматизирует присвоение налогового резидентства
18.06.2024
Сразу два приложения «Сбера» появилось в App Store. Выбирай мудро
18.06.2024
«При отсутствии просрочек по кредиту человек может ещё и потерять
17.06.2024
Скамерские новинки: «таможенный сбор» и «расследование мошенничества»
17.06.2024
Минэк — о порядке раскрытия данных госведомств для обучения нейросетей
17.06.2024
Релокация не спасает. Slack блокирует даже тех, кто «связан с Россией»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных