Center for Internet Security (CIS) объявил в понедельник о том, что
собирается работать с сообществом профессионалов в сфере сетевой безопасности
для создания стандарта из восьми правил, которые должны помочь компаниям
адекватно оценивать степень защищенности своих сетей.
По словам Берта Миуччио, управляющего CIS, этот проект вобрал в себя
рекомендации 85 экспертов в области безопасности из правительства,
промышленности и научной среды, и ставит своей целью создать единую для всех
компаний шкалу измерения их сетевой безопасности, а также отслеживать связанную
с ней информацию на постоянной основе. Хотя Центр и планирует оказание
коммерческих услуг компаниям в части отслеживания соответствия их сетей
принимаемому стандарту, сама оценочная методика будет предоставляться бесплатно.
"Выгода для компаний состоит в том, что они смогут отслеживать свою
производительность", - говорит Миуччио. "Они смогут отслеживать направление
своего развития в течение времени и принимать более взвешенные решения", -
заключает он.
Группа экспертов в области безопасности выбрала восемь критериев, на которых
следует обратить внимание. Для измерения способности компании противостоять
возникающим рискам, предлагается измерять время между возникновением инцидента и
полным устранением его последствий. В качестве индикатора стабильности сети
будет отслеживаться процент систем, сконфигурированных в соответствии с
общепринятыми стандартами, процент систем, обновляемых в рамках корпоративных
политик, и процент систем, имеющих установленное антивирусное ПО. Наконец,
компаниям придется оценивать установленные программные продукты, выделяя их по
тому, были ли ранее зарегистрированы случаи проблем с ними, являются ли они
потенциально уязвимыми или содержащими потенциально опасный код, причем делать
это предписывается до момента развертывания ПО.
"Данные критерии оценки предметом обсуждения не являются", - заявляет Миуччио.
"Концентрация на методах оценки приводит к отсутствию концентрации на самой
оценке", - говорит он.
