среда, 26 февраля 2014 г.

Аудит по ФЗ-152 - беда консультантов

    С выходом 21-ого приказа ФСТЭК известный подход "СЗИ от НСД + доверенная загрузка = почти соответствие" работать перестал.

    Приказ построен на основе NIST 800-53, и студентами уже не обойдешься. Даже проверенные кадры бывают в растерянности - NIST в стране обязателен не был, и очевидно, серьезно применялся только самыми продвинутыми организациями. Где взять кадры с опытом проведения аудита по подобному списку контролей - вопрос открытый.
   Несколько снизить остроту проблемы возможно разработав подробную аудиторскую программу. И раз уж NIST нам так "помог" с сложностью аудита, то он нам поможет с аудиторской программой, или хотя бы, с подходом к аудиту - встречайте, NIST IR 7358, концепция оценки уровня зрелости организации с опорой на 800-53 (в приложениях есть и полезные для оценки шаблоны).
   Несмотря на некоторую избыточность концепции для вышеуказанных целей, она вполне может пригодиться многим привыкшим к РД специалистам. 

Комментариев нет:

Отправить комментарий