Первый документ, а точнее его проект, подготовлен OWASP (The Open Web Application Security Project). Документ называется «Application Security Guide For CISOs» и это название говорит само за себя. Собственно сам документ сейчас как раз и создается 😉 Содержание документа ориентировано именно на руководителей ИБ и почти не содержит техники — один бизнес:
- выделение бюджета на защиту приложений
- измерение защиты приложений — потери, бизнес-воздействие, оптимизация затрат, ROI
- ценность информации
- выбор проблем, которые требуют внимания и выделения бюджета в первую очередь
- метрики.
Первые три пункта уже описаны; остальные в процессе.
Второй документ «SOCIAL MEDIA RISKS AND MITIGATION» описывает риски и стратегию управления ими для социальных медиа (социальные сети, блоги, твиттер и т.д.). Документ очень подробный и описывает social media с трех сторон — использование для общения с заказчиками, использование сотрудниками в личных целях и использование сотрудниками за пределами компании. И хотя документ ориентирован на финансовые организации, он будет полезен и всем остальным.
Мне понравился раздел по compliance, который описывает применение social media с точки зрения различных нормативных актов (иностранных) — в контексте персданных, в контексте законодательства о труде, в контексте PCI DSS, в контексте законодательства о рекламе и т.п.
Второй раздел связан с описание рисков применения social media — распространение вредоносного ПО, кража идентификационных и персональных данных, социальный инжиниринг, утечка интеллектуальной собственности, снижение продуктивности и т.д. Третий раздел описывает применение social media в целях мониторинга репутации предприятия.
В приложениях даны не только ссылки на различные нормативные акты и инструкции по использованию блогов, сайтов и т.п. в деятельности финансовых организаций (преимущественно американские), но и приведена всеобъемлющая матрица рисков.
Резюмируя, могу сказать, что оба документа достойны для изучения. Они могут лечь в основу собственной стратегии использования social media в организации.
Новая ссылка на документ по Social Media http://www.bits.org/publications/security/BITSSocialMediaJun2011.pdf