01.09.2011

Интересные документы по безопасности Web и Social Media

За последнее время наткнулся на несколько интересных документов по ИБ. Информацию о них я кидал в Twitter, но не факт, что все видели эти ссылки.

Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется "Application Security Guide For CISOs" и это название говорит само за себя. Собственно сам документ сейчас как раз и создается ;-) Содержание документа ориентировано именно на руководителей ИБ и почти не содержит техники - один бизнес:
  • выделение бюджета на защиту приложений
  • измерение защиты приложений - потери, бизнес-воздействие, оптимизация затрат, ROI
  • ценность информации
  • выбор проблем, которые требуют внимания и выделения бюджета в первую очередь
  • метрики.
Первые три пункта уже описаны; остальные в процессе.

Второй документ "SOCIAL MEDIA RISKS AND MITIGATION" описывает риски и стратегию управления ими для социальных медиа (социальные сети, блоги, твиттер и т.д.). Документ очень подробный и описывает social media с трех сторон - использование для общения с заказчиками, использование сотрудниками в личных целях и использование сотрудниками за пределами компании. И хотя документ ориентирован на финансовые организации, он будет полезен и всем остальным.

Мне понравился раздел по compliance, который описывает применение social media с точки зрения различных нормативных актов (иностранных) - в контексте персданных, в контексте законодательства о труде, в контексте PCI DSS, в контексте законодательства о рекламе и т.п.

Второй раздел связан с описание рисков применения social media - распространение вредоносного ПО, кража идентификационных и персональных данных, социальный инжиниринг, утечка интеллектуальной собственности, снижение продуктивности и т.д. Третий раздел описывает применение social media в целях мониторинга репутации предприятия.

В приложениях даны не только ссылки на различные нормативные акты и инструкции по использованию блогов, сайтов и т.п. в деятельности финансовых организаций (преимущественно американские), но и приведена всеобъемлющая матрица рисков.

Резюмируя, могу сказать, что оба документа достойны для изучения. Они могут лечь в основу собственной стратегии использования social media в организации.

1 коммент.:

Korwin комментирует...

Новая ссылка на документ по Social Media http://www.bits.org/publications/security/BITSSocialMediaJun2011.pdf