Интересные документы по безопасности Web и Social Media

За последнее время наткнулся на несколько интересных документов по ИБ. Информацию о них я кидал в Twitter, но не факт, что все видели эти ссылки. Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется " Application Security Guide For CISOs " и это название говорит само за себя. Собственно сам документ сейчас как раз и создается ;-) Содержание документа ориентировано именно на руководителей ИБ и почти не содержит техники - один бизнес: выделение бюджета на защиту приложенийизмерение защиты приложений - потери, бизнес-воздействие, оптимизация затрат, ROIценность информациивыбор проблем, которые требуют внимания и выделения бюджета в первую очередьметрики. Первые три пункта уже описаны; остальные в процессе. Второй документ " SOCIAL MEDIA RISKS AND MITIGATION " описывает риски и стратегию управления ими для социальных медиа (социальные сети, блоги, твиттер и т.д.). Документ очень подробный и описывает social media с трех сторон - использование для общения с заказчиками, использование сотрудниками в личных целях и использование сотрудниками за пределами компании. И хотя документ ориентирован на финансовые организации, он будет полезен и всем остальным. Мне понравился раздел по compliance, который описывает применение social media с точки зрения различных нормативных актов (иностранных) - в контексте персданных, в контексте законодательства о труде, в контексте PCI DSS, в контексте законодательства о рекламе и т.п. Второй раздел связан с описание рисков применения social media - распространение вредоносного ПО, кража идентификационных и персональных данных, социальный инжиниринг, утечка интеллектуальной собственности, снижение продуктивности и т.д. Третий раздел описывает применение social media в целях мониторинга репутации предприятия. В приложениях даны не только ссылки на различные нормативные акты и инструкции по использованию блогов, сайтов и т.п. в деятельности финансовых организаций (преимущественно американские), но и приведена всеобъемлющая матрица рисков. Резюмируя, могу сказать, что оба документа достойны для изучения. Они могут лечь в основу собственной стратегии использования social media в организации.