Миф №34 надо стремиться к внедрению security best practices

В рамках рубрики Клуб специалистов мы продолжаем публикацию книги А.В.Лукацкого заблуждения и Мифы информационной безопасности

Алексей Лукацкий — менеджер по формированию бизнеса Cisco Systems

Термин «Best Practice» переводится как «лучшая практика» либо «передовой опыт». Это формализованный успешный практический опыт в какой-либо области. В первый раз мысль применения лучших практик была сформулирована еще в 1914 году американским инженером Фредериком Тейлором.

Занимаясь управленческим консалтингом в области научной организации труда он увидел, что «среди всего инструментов и многообразия методов, применяемых в любой момент каждого процесса, неизменно имеется один инструмент и метод, что трудится стремительнее и лучше остальных». Иными словами в любой деятельности постоянно существует оптимальный метод достижения заданной цели, что, появлявшись действенным в одном месте, будет таким же действенным и в другом месте.Имеется таковой и опыт и в области информационной безопасности.

Но на практике современная обстановка мало отличается от обрисованной Тейлором и в лучшие практики по безопасности, ввиду ее непубличности, записывают не просто оптимальные способы, а вправду лучшие из лучших, собранные зарубежными компаниями-фаворитами. В качестве одного из таких примеров возможно назвать западный стандарт ISO 27001, что был кроме этого принят и в Российской Федерации в качестве национального.Нужно ли стремиться к такому передовому опыту и внедрять его в собственной организации?

Ответ на данный вопрос будет неоднозначный. Приведу аналогию — всемирный рекорд в метании молота в собственности Юрию Седых (СССР), установленный в далеком 1986-м году в Штутгарте. Его достижение в 86.74 метра не достигнуто до сих пор.

По сути, способы мировой и этот рекорд его успехи и имеется лучшая практика в легкой атлетике. Стоит ли стремиться к этому показателю? Опытным спортсменам, участвующим в чемпионатах и Олимпиадах мира, может и стоит.

Но спортсмен-любитель ни при каких обстоятельствах не достигнет таких результатов. А простому человеку метание молота и вовсе ни к чему.С безопасностью обстановка подобная.

Формализованный передовой опыт может не подойти конкретному предприятию. Обстоятельств для этого множество. Он может не фокусироваться на информационных разработках, как это часто бывает в индустрии. Его уровень зрелости может очень сильно различаться от уровней компаний, чей опыт лег в базу лучших практик.

Его бюджет на ИБ возможно на порядки меньше. Его управление может не разделять либо не осознавать важности информационной безопасности.

Оно может находиться в стране с отличающимся законодательством в области защиты разных интересов граждан и видов тайн. И еще множество иных обстоятельств, мешающих не только приблизиться к тому, что обрисовано в «best practices», но и не нужных сейчас конкретному предприятию.

Стремясь к ним возможно не только не взять желаемого уровня ИБ, но и навредить ему.Иными словами «лучшие практики» — это не то, что нужно безоглядно внедрять на своем предприятии лишь вследствие того что они «лучшие» и все стараются вас убедить, что без некоторых лучших практик вам не жить. Значит ли это, что передовым опытом не следует пользоваться?

Конечно же нет. Легко нужно знать, что вы используете, для чего и в каком количестве.

Кроме того же ISO 27001 имеется еще множество увлекательных рекомендаций, каковые кроме этого отражают действенные подходы к реализации информационной безопасности. Но собраны они не от лучших из лучших, а от громадной массы середнячков, каковые и составляют главной костяк бизнеса во всех государствах.

К числу таких рекомендаций возможно отнести Cisco SAFE ( Security Architecture for Enterprise) в области сетевой безопасности, Standard of Good Practice от ISF, оперирующий на более большом уровне и дающий советы в области управления ИБ, пользователями, приложениями, разработкой и т.д.

Security Best Practices for Serverless Applications — 2017 AWS Online Tech Talks


Похожие заметки:

Понравилась статья? Поделиться с друзьями: