С выходом 21-ого приказа ФСТЭК известный подход "СЗИ от НСД + доверенная загрузка = почти соответствие" работать перестал.
Приказ построен на основе NIST 800-53, и студентами уже не обойдешься. Даже проверенные кадры бывают в растерянности - NIST в стране обязателен не был, и очевидно, серьезно применялся только самыми продвинутыми организациями. Где взять кадры с опытом проведения аудита по подобному списку контролей - вопрос открытый.
Несколько снизить остроту проблемы возможно разработав подробную аудиторскую программу. И раз уж NIST нам так "помог" с сложностью аудита, то он нам поможет с аудиторской программой, или хотя бы, с подходом к аудиту - встречайте, NIST IR 7358, концепция оценки уровня зрелости организации с опорой на 800-53 (в приложениях есть и полезные для оценки шаблоны).
Несмотря на некоторую избыточность концепции для вышеуказанных целей, она вполне может пригодиться многим привыкшим к РД специалистам.
Приказ построен на основе NIST 800-53, и студентами уже не обойдешься. Даже проверенные кадры бывают в растерянности - NIST в стране обязателен не был, и очевидно, серьезно применялся только самыми продвинутыми организациями. Где взять кадры с опытом проведения аудита по подобному списку контролей - вопрос открытый.
Несколько снизить остроту проблемы возможно разработав подробную аудиторскую программу. И раз уж NIST нам так "помог" с сложностью аудита, то он нам поможет с аудиторской программой, или хотя бы, с подходом к аудиту - встречайте, NIST IR 7358, концепция оценки уровня зрелости организации с опорой на 800-53 (в приложениях есть и полезные для оценки шаблоны).
Несмотря на некоторую избыточность концепции для вышеуказанных целей, она вполне может пригодиться многим привыкшим к РД специалистам.
Комментариев нет:
Отправить комментарий