Безплатно · 70 сторінок

Книга з управління реєстром активів для менеджерів з інформаційної безпеки

Більшість реєстрів активів добре починаються, але поступово занепадають. Застарілі записи, відсутні хмарні активи, невизначені власники, поля, яких ніхто не підтримує. Цей посібник про те, як побудувати реєстр, що не занепадає, — і підтримувати його в актуальному стані.

ISO 27001NIS 2DORASOC 2

Що охоплено

  • Як проводити виявлення активів у різних підрозділах — без перетворення в окремий проект
  • Що відстежувати, як класифікувати та готовий приклад набору даних
  • Призначення власників так, щоб відповідальність не зникала, коли хтось звільняється
  • Зв'язок активів із бізнес-процесами — щоб знати, що справді важливо
  • Управління життєвим циклом і чому виведені з експлуатації активи — поширена точка входу для зловмисників
  • Оцінка за моделлю CIA, оцінка ризиків і проектування заходів безпеки для кожного активу
  • Підтримка актуальності реєстру після завершення початкових зусиль

Бажаєте читати онлайн? Читати повний посібник →

Отримати PDF

Без спаму. Тільки книга.

Що всередині

Вісім розділів. Без наповнювача.

Охоплює весь процес — від залучення стейкхолдерів до збору активів, за які вони не вважають себе відповідальними, до підтримки точності реєстру після того, як перший ентузіазм давно згас.

  1. 01 Виявлення активів і взаємодія зі стейкхолдерами

    Як залучити кожен підрозділ до внеску активів, не перетворюючи це на проект, що потребує власного менеджера — включно з тим, кого призначити і як організувати процес.

  2. 02 Поля даних, класифікація та приклади наборів даних

    Які поля справді важливі, як класифікувати без створення таксономії, яку ніхто не використовує, та приклад набору даних для ISO 27001, NIS 2 і DORA.

  3. 03 Власники активів і підзвітність

    Різниця між власниками та зберігачами активів, як призначати їх без двозначності та як уникнути ситуації, коли всі відповідальні, але ніхто не відповідає.

  4. 04 Зв'язок активів із бізнес-процесами

    Як пов'язати активи з бізнес-процесами, які вони підтримують — щоб при збоях одразу знати, що це зачіпає і чому це важливо.

  5. 05 Управління життєвим циклом і безпечне виведення з експлуатації

    Від придбання до виведення з експлуатації — і чому забутий сервер, за яким ніхто не стежить, залишається одним із найпоширеніших шляхів для зловмисників.

  6. 06 Оцінка потреб у безпеці та тріада CIA

    Використання конфіденційності, цілісності та доступності для оцінки критичності активів і визначення, де справді потрібні заходи безпеки — включно з шаблоном зваженої оцінки.

  7. 07 Оцінка ризиків і проектування заходів безпеки

    Як дані активів впливають на оцінку ризиків і як проектувати заходи безпеки, що відповідають реальному профілю ризику кожного активу.

  8. 08 Підтримка актуальності реєстру

    Структура аудиту з рівнями пріоритету — активи з високою критичністю перевіряються частіше, низькоризикові — рідше, без покладання на те, що люди просто пам'ятатимуть.

Написано для практиків

Не черговий огляд стандарту

ISO 27001 A.8 вимагає вести реєстр активів. Але він не пояснює, як змусити керівників підрозділів реально зробити свій внесок, що робити з 40 активами, які хтось записав як «різні ноутбуки», або що робити, коли людина, яка власне половину реєстру, звільняється. Саме про це цей посібник.

  • Реальні кейси — включно з розбором злому SingHealth 2018 року, де системи без патчів понад рік — тому що ніхто не знав про їхнє існування — стали точкою входу для зловмисників.
  • Попередження про підводні камені в кожному розділі — конкретні помилки, яких команди припускаються на кожному етапі, і що натомість робити — на основі реального досвіду.
  • Готові шаблони — таблиці класифікації, оцінка за тріадою CIA, призначення власників і рівні пріоритету аудиту. У книзі, не за окремим завантаженням.
  • Посилання на ISO 27001, NIS 2, DORA та SOC 2 по всьому тексту — не як чеклист наприкінці, а як контекст для розуміння, чому кожне рішення у процесі важливе для відповідності.

Кейс всередині

Злом SingHealth

У 2018 році найбільший постачальник медичних послуг Сінгапуру зазнав злому, що розкрив дані 1,5 мільйона пацієнтів — включно з прем'єр-міністром. Слідство встановило, що системи без оновлень понад рік стали точкою входу. Посібник детально розбирає, що пішло не так і що запобіг би повний реєстр активів.

Отримати книгу →

Для кого

Якщо ваша СУІБ має витримати реальний аудит — це для вас

Менеджери з інформаційної безпеки

Реєстр активів існує. Ви не впевнені, що він повний. Відповідність вимагає це довести. Посібник дає процес для усунення прогалин.

Фахівці з GRC і відповідності

Готуєтесь до аудиту ISO 27001 або NIS 2 і не впевнені, що реєстр активів витримає перевірку. Тут розглянуто, що шукають аудитори і як підготуватися.

Команди IT-безпеки

Фактично займаєтесь відстеженням і підтримкою активів. Охоплює виявлення, класифікацію, управління життєвим циклом і збереження точності реєстру після передачі.

Безплатно

Безплатно. Заповніть форму — отримайте PDF.

Або читайте повний посібник онлайн, якщо спочатку хочете переглянути.

Отримати книгу