Этим постом я открываю в своем блоге новую рубрику - "Книжная полка", которая будет посвящена обзорам специализированной литературы.
Сегодня я хочу представить книгу Vulnerability Management, автор - Park Foreman, Издатель: Auerbach Publications, дата выхода: 2009 г. Сам я получил доступ к этой книге через электронную библиотеку ISACA, приобрести же ее можно, например, на Amazon .
На моей памяти это первая книга, посвященная именно области управления уязвимостями, в то время как это довольно важный и непростой процесс, связанный с информационной безопасностью (во многих компаниях его отдают в ИТ-службу, где он реализуется с разной степенью успешности; действительно хорошо выстроенных процессов управления уязвимостями мне пока встречать не довелось).
В книге можно найти и детальное описание подходов к организации программы управления уязвимостями (участвующие подразделения, порядок документирования, план реализации проекта, руководства, чек-листы, политики, рекомендации по составлению отчетности, анализу данных об уязвимостях и проч.), описание технологий, используемых для выявления уязвимостей, а также подробное и популярное объяснение того, что такое CVE, NVD, CPE, SCAP. Очень интересно описано взаимодействие процесса управления уязвимостями с другими ИТ и ИБ-процессами (процессы ITIL, управление рисками, управление активами и др.).
В одной из глав встретилась такая фраза (что сказать, и забавно и грустно):
Some countries have import duties and restrictions on technologies that can extend thereplacement cycle for months. Certain locations seem particularly unfriendly to commerce, particularly where technology is concerned. Russia, Venezuela, and even Mexico can be very resistant to receiving technology, to the detriment of their own citizens. It is even possible that final delivery in some locations may call for a small bribe to the delivery person.
На мой взгляд эта книга может стать довольно полезным подспорьем для тех, перед кем стоит задача по организации эффективно работающего процесса по управлению уязвимостями.
По пятибальной системе я готов дать этой книге твердую четверку.
