Operations security (ч.4)

Operations security (ч.4)
Продолжая рассмотрение понятия операционной безопасности (защиты информации на операционном уровне), в рамках настоящей заметки я хотел бы представить взгляд на данный вопрос со стороны National Institute of Standards and Technology (NIST).


На мой взгляд, это однозначно один из ведущих институтов, выпускающих практически ориентированные документы в профильной области.


Для ИБ-специалистов наибольший интерес представляют публикации серий:
- NIST SP 800s – Computer Security (около 140 документов);
- NIST SP 1800s – NIST Cybersecurity Practice Guides;
- NIST SP 500s – Computer Systems Technology.

В рамках данной заметки мы рассмотрим документ «NIST Special Publication 800-100. Information Security Handbook: A Guide for Managers».

В данном документе ИБ рассматривается через призму System Development Llife Cycle (SDLC) и отмечается, что независимо от вариации SDLC в организации мероприятия по защите информации должны быть интегрированы в SDLC для обеспечения надлежащий безопасности информации, а также, что наиболее целесообразно это делать уже на стадии инициации (1-ая стадия SDLC):
5d57cfa252806fd650d8cef09112a95a.png


И в рамках данного цикла выделяется фаза «Operations/Maintenance Phase»:
29bbffa0f8a6b7ee69e4be129dd8cfec.png  


Продолжение следует …
Alt text

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только

Какие зарубежные новостные сайты по информационной безопасности вы читаете?