Katalog zagrożeń wg CERT.GOV.PL

CERT.GOV.PL opublikował bardzo ciekawy materiał w postaci tabeli zagrożeń stosowanych przez zespół CERT - http://www.cert.gov.pl/download/3/168/KatalogzagrozenCERTGOVPL.pdf
Głowna zaleta – wszystko mieści się na jednej stronie - a obejmuje główne ryzyka dotyczące systemów ICT.
Tabela do wydrukowania i zawieszenia w każdym dziale IT.
Więcej na http://www.cert.gov.pl/cer/publikacje/katalog-zagrozen-stosow/731,Katalo...

Główną zaletą materiału przygotowanego przez zespół CERT jest jego lapidarność. Jak „mówi” chińskie przysłowie: „Jeden obraz wart więcej niż tysiąc słów” co ma szczególne przełożenie podczas rozmów o bezpieczeństwie informacji z kierownictwem które rzadko ma czas aby przebrnąć przez akty prawne (np. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100 poz. 1024), Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2012 poz. 526)) oraz normatywne (np. normy z serii PN-ISO/IEC 2700x). Zespołowi CERT udało się na jednej kartce A4 zamieścić główne podatności na jakie należy zwrócić uwagę w procesie przetwarzania informacji z wykorzystaniem systemów teleinformatycznych.
Materiał ten jest doskonałym argumentem dla działów IT oraz osób odpowiedzialnych za bezpieczeństwo systemów informacyjnych podczas negocjacji zarządami lub osobami odpowiedzialnymi za finanse organizacji. Logo CERT na przygotowanym materiale na pewno pomoże podczas rozmów o zmianach organizacyjnych wpływających na poprawę bezpieczeństwa lub akceptacji budżetów związanych z bezpieczeństwem.
Byłoby dobrze, gdyby przygotowana przez CERT tabela była przemapowana na zapisy w Polityce Bezpieczeństwa Informacji organizacji oraz była uwzględniona w trakcie przygotowywania lub aktualizacji analizy ryzyk.
Szkoda, że w zestawieniu nie uwypuklono phisingu będącego często kombinacją socjotechniki i szkodliwego oprogramowania które przy braku powszechnej edukacji z zakresu cyberbezpieczeństwa w niezwykle skuteczny sposób spełnia mroczne plany przestępców zamieniając komputery użytkowników w armie zombie poddaną właścicielom botnetów.
Warto również podkreślić, że opracowana tabela nie zawiera wszystkich możliwych podatności oraz, że współczesne podejście do bezpieczeństwa informacji opiera się głownie na przygotowaniu analizy ryzk która jest odmienna dla każdej organizacji. To kierownictwo organizacji musi samodzielnie podjąć decyzje o postępowaniu ze zdiagnozowanymi ryzykami w zależności od możliwości organizacji oraz poziomu wpływu jaki na organizację może mieć zmaterializowanie się ryzyka. Tabela CERT powinna uświadomić kierownictwu wagę ryzyk technologicznych które często są pomijane w ramach analizy ryzyk przygotowywanych w ramach Kontroli Zarządczej po mimo, że proces zarządzania ryzykiem powinien obejmować wszystkie zdarzenia które mogą mieć wpływ na działalność organizacji.

Komentarz ITSecurity24.info opublikowany w IT w Administracji

Tags: