SANS Institute внес очередной вклад в кибербезопасность, опубликовав SANS 20 Critical Security Controls — полезный список первоочередных механизмов контроля ИБ, не менее основательный, чем знаменитый список SANS Top 20 Internet Vulnerabilities List.
В 2008 году Минобороны США обратилось в Агенство национальной безопасности (NSA), как к основным специалистам по кибератакам, с просьбой о приоритезации механизмов контроля. «Оffense must inform defense» (нападение должно информировать защиту) — один из основных лозунгов Белого дома в этом деле.
В NSA занимались этим вопросом с 2000 года, формируя списки наиболее эффективных механизмов защиты от кибератак для различных министерств и ведомств США. Первоначально ТОП 20 Критичных Механизмов Контроля предназначался «только для внутреннего пользования». Затем к этой теме подключился знаменитый Центр Безопасности Интернет (CIS), известный своими Security Benchmarks, и, собственно, сам SANS Institute, после чего состоялось публичное обсуждение данного стандарта среди большого количество заинтересованных организаций как из государственного,так частного сектора.
В результате анализа сценариев тысяч реальных кибератак получился де-факто интернет стандарт, подробно описывающий комплекс наиболее действенных механизмов защиты, официально принятый в США и в Великобритании. Данный стандарт применяется для защиты критичных объектов информационной инфраструктуры. В прошлом году в Idaho National Laboratory (центр компетенции США по защите SCADA-систем) провели исследование, связанное с оценкой эффективности применения SANS 20 Critical Security Controls в электроэнергетике.
Т.о. еще одним полезным практическим стандартом стало больше. Помимо описания контролей 20 Critical Security Controls содержит метрики для оценки их эффективности, которые можно применять на практике, например, для реализации политики в области управления эффективностью СУИБ.