Раз процессный подход является главным ключом к исо27тыщам, сделаю-ка его понятным в дополнение к знаменитому. Во чем уже приходится разбрасываться, компенсируя недостаточную интенсивность блогонаполнения, но ничего – не последний огурец режу, не счесть еще роялей в каменных пороховницах.
Никогда не замечали удивительную популярность QM-базированных стандартов в странах с дхармическими религиями? А всё просто – у их мира тот же колесный привод, неспроста Деминг именно там до PDCA допер на радость всяким Шухартам.
В это трудно поверить, но секрет соответствия системы управления информационной безопасностью исо27тыщам в том, что вся она должна быть ввергнута в состояние непрекращающегося ремонта. В каждом своем элементе.
Европейцу это странно - круговорот воспринимается им как нечто негативное, с чем можно мириться, но никак не стремиться создавать. Европеец привык созидать стабильное, а если переменчива среда существования, то все равно созидать стабильное, но периодически. У него проектное мышление, не процессное.
На примере.
Патч-менеджмент в западном стиле: запустить аналайзер, получить отчет, добиться устранения критических уязвимостей, через полгода опять запустить аналайзер, получить отчет, добиться устранения критических уязвимостей, через полгода опять...
Патч-менеджмент в юго-восточном стиле: составить список используемого ПО, посадить кого-то на отслеживание выхода критических патчей к этому ПО и информирование админов, у админов наладить процедуру установки (с тестированием, естественно, с возможностью отката, регистрацией факта и пр.) и иногда проверять соблюдение.
Если вы еще не поняли, фишка в средней продолжительности наличия критической дыры в системе, а это вполне себе показатель защищенности.
Хочется сострить про патч-менеджмент а ля рюс, но это уже в комментах, т.к. до конца не сформулировал.
Вообще говоря, процессы совершенствования СУИБ не являются бесконечными – это обычная задача многофакторной оптимизации, и к ней впору было бы подходить с обычными монтекарлами и лучшими пробами, будь она формализована, и слово continious читателей стандарта только зря путает, и оправдать авторов можно только если допустить, что они закладывались на изменение условий за время поиска.
Но важно понять и принять ее не-одноходовость. Невозможно во всех ста с хреном защитных мерах и тысячах пунктов десятков документов с первого раза попасть в яблочко.
Тема замороченная, поэтому бью на части. Окончание следует.
В качестве якоря можно нагуглить детский анекдот про вечный кайф - это где слон и мышка.
Перманентный ремонт – 1
Перманентный ремонт – 1
