Operations security (ч.1)

Operations security (ч.1)
Последнее время очень много дискуссий стоит вокруг понятия операционной безопасности (защите информации на операционном уровне). Особенно этот вопрос «подогревается» активно развивающейся темой построения Центров операционной безопасности (Security Operations Center, SOC). При этом, на мой взгляд, незаслуженно операционную безопасность сужают до вопросов выявления и реагирования на инциденты информационной безопасности, а в ряде случаев – только до выявления инцидентов информационной безопасности (часто здесь же говорят о мониторинге).

В рамках нескольких заметок я решил представить взгляд на данный вопрос со стороны ряда авторитетных, на мой взгляд, источников.

Начать хотелось бы с семейства стандартов ISO/IEC 27000.
В следующих документах:

- ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems – Requirements;
- ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls,
есть блок, посвященный Operations security, который включает в себя:
4dbe7273a660729d8080305aaf37faa6.jpg
Стоит отметить, что мониторинг здесь – это всего лишь один из 7 блоков, а вот тематика инцидентов информационной безопасности выделена в отдельный блок «A.16  Information security incident management», а также «наделена» уже двумя целевыми стандартами (до 2016 года был один 27035):
- ISO/IEC 27035-1:2016 Information technology -- Security techniques -- Information security incident management -- Part 1: Principles of incident management;
- ISO/IEC 27035-2:2016 Information technology -- Security techniques -- Information security incident management -- Part 2: Guidelines to plan and prepare for incident response.

Успехов в организации и реализации вашей Operations security!
Alt text