Center for Internet Security (CIS) объявил в понедельник о том, что
собирается работать с сообществом профессионалов в сфере сетевой безопасности
для создания стандарта из восьми правил, которые должны помочь компаниям
адекватно оценивать степень защищенности своих сетей.

По словам Берта Миуччио, управляющего CIS, этот проект вобрал в себя
рекомендации 85 экспертов в области безопасности из правительства,
промышленности и научной среды, и ставит своей целью создать единую для всех
компаний шкалу измерения их сетевой безопасности, а также отслеживать связанную
с ней информацию на постоянной основе. Хотя Центр и планирует оказание
коммерческих услуг компаниям в части отслеживания соответствия их сетей
принимаемому стандарту, сама оценочная методика будет предоставляться бесплатно.

"Выгода для компаний состоит в том, что они смогут отслеживать свою
производительность", — говорит Миуччио. "Они смогут отслеживать направление
своего развития в течение времени и принимать более взвешенные решения", —
заключает он.

Группа экспертов в области безопасности выбрала восемь критериев, на которых
следует обратить внимание. Для измерения способности компании противостоять
возникающим рискам, предлагается измерять время между возникновением инцидента и
полным устранением его последствий. В качестве индикатора стабильности сети
будет отслеживаться процент систем, сконфигурированных в соответствии с
общепринятыми стандартами, процент систем, обновляемых в рамках корпоративных
политик, и процент систем, имеющих установленное антивирусное ПО. Наконец,
компаниям придется оценивать установленные программные продукты, выделяя их по
тому, были ли ранее зарегистрированы случаи проблем с ними, являются ли они
потенциально уязвимыми или содержащими потенциально опасный код, причем делать
это предписывается до момента развертывания ПО.

"Данные критерии оценки предметом обсуждения не являются", — заявляет Миуччио.
"Концентрация на методах оценки приводит к отсутствию концентрации на самой
оценке", — говорит он.



Оставить мнение