Управление уязвимостями важный, но не очень простой процесс. По сути он состоит из 2х важных блоков каждый из которых бесполезен без другого. Эти блоки:
6. Гибкость в отношении к модернизации
II. Если вы уже приняли решение о возможности передачи процесса на аутсорсинг, то следует определить:
- Обнаружение и оценка уязвимостей
- Устранение уязвимостей
Как мы понимаем, устранение уязвимостей практически невозможна без персонала, отвечающего за поддержку ИТ-инфраструктуры, в то время как обнаружение уязвимостей можно полностью переложить на ИБ-подразделение и/или передать 3й стороне на аутсорсинг.
I) Рассматривая вопрос о передаче на аутсорсинг, необходимо ответить для себя на несколько вопросов.
1. Финансовая рационализация
Насколько финансово выгодно передать процесс на аутсорсинг?
Выбирая между передачей на аутсорсинг и выполнением работ самостоятельно следуют оценить следующие направления расходов, необходимые на создание и поддержание системы выявления и анализа уязвимостей:
- Стоимость основного и обеспечивающего оборудования и программного обеспечения сканера уязвимостей (в том числе лицензий на использование)
- Зарплата персонала (трудочасы)
- Стоимость технической поддрежки
- Стоимость обучения персонала
Сравните эти затраты с теми, что будут при передаче на аутсорсинг. В большинстве случаев аутсорсинг будет намного выгоднее.
2. Безопасность
Безопасно ли передавать данные об уязвимостях сторонней организации?
Передавая работы по выявлению и оценке уязвимостей сторонней организации следует доверять этой организации. Следует подписать SLA и соглашение о неразглашении. При необходимости можно запросить подтверждение обеспечения безопасности передаваемых данных (даже, например, провести аудит 2й стороны).
3. Удобство
Насколько удобен будет формат получения результатов?
3. Качество работ и экспертиза
Насколько качественно будут проведены работы? Что нужно для того, чтобы собственные сотрудники выдавали аналогичные результаты?
4. Мотивация и концентрация определенной деятельности
Насколько замотивирован собственный персонал на выполнение данных работ? Есть ли задачи с большим приоритетом? Интересна ли такая работа собственным сотрудникам?
5. Независимость оценки
Нужна ли нам независимая оценка своей безопасности? Насколько она весомее собственных оценок?
6. Гибкость в отношении к модернизации
Как изменится процесс оценки уязвимостей при внесении изменений в ИТ-инфраструкуру / изменении области работ?
II. Если вы уже приняли решение о возможности передачи процесса на аутсорсинг, то следует определить:
- цели и ожидания от работ
- область работ
- требования к исполнителю работ (опыт, отзывы, персонал и пр.)
- примерный бюджет
Определить и согласовать с исполнителем:
- наименоваание сканера(-ов) уязвимостей
- периодичность проверки
- характеристики профилей сканирования
- формат отчета и рекомендаций
- методологию категорирования, выявленных уязвимойстей (см., например тут и тут)
- порядок взаимодействия (в том числе и тех.поддержки)
- ключевые метрики и показатели эффективности процесса
Комментариев нет:
Отправить комментарий