Продолжая наш разговор о лучших практиках министерства энергетики США в области ИБ хочу рассказать о инструменте самооценки состояния ИБ компаниями-владельцами критической инфраструктуры США.
Инструмент был выпущен в середине 2012, и является гибким инструментом самооценки на соответствие одному из стандартов NIST, требованиям министерства обороны, министерства внутренней безопасности, Common Criteria и другим. Согласно официальной информации инструмент не только оценивает но и формирует рекомендации по достижению соответствия, но в найденных мной отчетах рекомендации были разве что в детальных таблицах уровней зрелости для каждого из оцениваемых вопросов безопасности (что намного менее полезно чем нормальный roadmap).
Ниже общий алгоритм работы с инструментом (к сожалению, пока не получилось попробовать его в работе лично), примеры результатов работы инструмента (отчеты) - здесь и здесь, скачать можно здесь (ISO + некие обучающие видео, очевидно, что инструмент не простой в использовании), детальнее о инструменте - публикация US-CERT (правда, о четвертой версии, а скачать возможно уже 5.1, т.е. инструмент постоянно развивается).
P.S. Если при скачивании будут требовать персональные данные (имя, почту и т.п.) - возможно писать что угодно, это не проверяется, и лично я написал что-то правдоподобное (не хочется лишний раз настораживать наших заокеанских коллег), так что качал не я а моя легенда (Edward Black с известного американского химического гиганта Dow Chemicals;)
Комментариев нет:
Отправить комментарий