11 Апреля, 2019

Хорошая корреляция сразу двух «лучших практик» в ИБ (от CIS и от NIST)

Роман Жуков



Мы привыкли говорить, что в процессе построения системы (процесса) обеспечения информационной безопасности предприятия применяем так называемые «лучшие мировые практики». Соглашусь с коллегами, которые частично пишут в Facebook и блогах о том, что настоящий полезный контент лучше впитывать, изучая иностранные источники на английском по причине, банально, быстрейшего появления, да и переводы в итоге случаются далеко не всегда.

На днях CIS (Center for Internet Security - некоммерческая организация из США, разрабатывающая стандарты и инструменты в области информационной безопасности) выложил очень занятный маппинг своих CIS Controls свежей версии V7.1 на контроли от NIST (The National Institute of Standards and Technology – Национальное бюро стандартов США) – Cybersecurity Framework. Примечательно, что в отличие от официальных Приказов отечественных регуляторов, у CIS, как это всегда и было, максимально удобное представление: сразу в xls. ЗА 3 секунды сразу фильтруется по нужным параметрам (например, Asset Type), и сравнивается с аналогичным контролем из NIST CSF.



Уважаемые коллеги-интеграторы не дадут соврать, сколько кулуарных кастомных инструментов приходится писать самостоятельно, чтобы просто составить банальные чек-листы выполнения нашей нормативки. Не говоря уже о кросс-регуляторном анализе, когда нужно скрестить ужа с носорогомтребования разных регуляторов под разные ветки законодательства.

Когда-то и мы доживем до понедельника светлых дней, когда подобного рода инструменты будут держаться не за семью печатями в недрах компаний-консультантов, но выкладываться аж самими регуляторами.
  
Оставайтесь на светлой стороне.