SANS. 17 Critical Controls

Сразу необходимо сказать, что речь идет не о достаточно широко известных SANS 20 Critical Security Controls, а о описанных в документе SANS. Information Risks & Risk Management. 

На самом деле, я бы назвал это чеклистом: утвердительный ответ на все вопросы может позволить говорить о надежности систем в разрезе информационной безопасности. От себя хочу заметить, что каждая из этих мер описана достаточно объемно. Понравилось обпределение политики ИБ, данное в раскрытии первого пункта:

Политика информационной безопасности - письменное соглашение, построенное вокруг защищаемых информационных активов организации и направленное против случайного или преднамеренного раскрытия, модификации или уничтожения таких информационных активов.(Wurzler, 2004)

17 критических мер защиты

1. Введена ли у вас политика информационной безопасности? Понятна и соблюдается ли она всеми сотрудниками, подрядчиками и другими лицами или организациями, имеющими доступ к вашей конфиденциальной информации?
2. Установлено ли антивирусное ПО на все системы?
3. Соблюдаются ли правила обновления ПО, включающие, как минимум, еженедельный мониторинг новостей вендоров или автоматические уведомления о доступности обновлений безопасности? Тестируете и устанавливаете ли вы критические обновления безопасности, как только это становится возможным (но не позднее, чем в течении 30 дней после выхода)?
4. Используются ли мобильные устройства, запрещенные устройства или программное обеспечение? Важен учет и управление такими активами.
5. Надежно ли (в плане информационной безопасности) настроены файерволлы, информационные системы и системы безопасности?
6. Тестируете ли вы свою систему безопасности (как минимум, ежегодно) для гарантированной эффективности технических средств защиты? Тестируете ли вы процедуры реагирования на инциденты (такие как взлом систем, вирусы, отказ в обслуживании)?
7. Можете ли вы восстановить ваши системы, пострадавшие от утечек данных, повреждения или сбоя в сетях в течении 24 часов (для критичных систем и операций, от которых зависите вы или ваши заказчики и партнеры)?
8. Все ли каналы удаленного доступа к внутренней сети защищены аутентификацией, шифруются и доступный из систем, которые защищены по меньшей мере так же, как ваша?
9. Основано ли управление правами доступа на принципе минимальных привилегий? Аннулируете ли вы права доступа и привилегии после того, как они больше не требуются (но не позднее, чем через 24 часа после любых изменений в правах доступа)?
10. Имеется ли у вас в организации квалифицированный персонал, занимающийся информационной безопасностью? Или занимаются ли управлением вашей информационной безопасностью организации, специализирующиеся на этом?
11. Если вам нужно обойти или отключить контроль информационной безопасности ( например, во время чрезвычайных ситуаций или тестирования мер защиты), всегда ли для этого запрашивается подтверждение более, чем одного человека и всегда ли защитные меры активируются обратно тогда, как только это становится возможным?
12. Всегда ли вы требуете от всех третьих лиц, которым вы доверяете свою конфиденциальную информацию, договор о защите такой информации, включающий гарантии использования защитных мер, по крайней мере эквивалентных мерам, принятых в вашей организации. Проводите ли вы аудит их соблюдения?
13. Внедрены ли у вас процессы, позволяющие отслеживать и регистрировать действия лиц, которые имеют доступ или контролируют конфиденциальную информацию и время такого доступа или контроля (например, соглашение о контроле)?
14. Храните ли вы конфиденциальную информацию не дольше, чем это необходимо; и если такая информация больше не требуется, уничтожается ли она при помощи технических средств, не позволяющих ее восстановить?
15. Внедрены ли у вас технические меры защиты для предотвращения несанкционированного доступа к компьютерам, сетям и данным в вашей организации?
16. Контролируете и отслеживаете ли вы  все изменения в вашей сети, чтобы быть уверенным в том, что она надежно защищена?
17. Участвует ли юридический отдел вашей организации в процессе проверки на соблюдение требованиям и установленным нормам регуляторов? 

Кстати, я отдельно уже приводил описание основных характеристик инсайдера из этого же документа. А они, в свою очередь, заимствованы из отчета Symantec по инсайдерским рискам.