СОИБ. Анализ. Лучшие практики по ИБ из Австралии

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Опубликовано в:
Во время подготовки одной из предыдущих статей про структуру документов ИБ наткнулся на очередные изменения в лучших практиках – австралийской Information Security Manual, который мне захотелось рассмотреть поподробнее.

 
 
Почему данный документ можно отнести к лучшим практикам? По моим наблюдениям документ обновляется каждый год, учитывает современные тенденции, придерживается риск-ориентированного подхода к обязательным требованиям, имеет иерархическую структуру, применяется для широкого круга организаций.

 
 
По сравнению с предыдущим обзором ISM в 2012 году, ISM разделился на 3 документа, каждый из которых имеет свои цели и свою аудиторию:

  • Executive Companion (28 страниц) предназначен для руководства организаций и содержит описание основных угроз и нарушителей, 5 ключевых вопросов, на которые нужно ответить руководителю о состоянии ИБ в организации и даже пример ответов (case study)

  • Principles (78 страниц) предназначен для CISO, CIO и ответственных за ИБ и содержит основные принципы ИБ, которые необходимо учитывать при разработке политики ИБ, сгруппированы по блокам:  

    • Information Security Risk Management

    • Outsourced Information Technology Services

    • Roles and Responsibilities

    • Information Security Documentation

    • System Accreditation

    • Information Security Monitoring

    • Cyber Security Incidents

    • Physical Security

    • Personnel Security

    • Communications Infrastructure

    • Communications Systems and Devices

    • PSPF Mandatory Requirement INFOSEC 4 Explained

    • Product Security

    • Media Security

    • Software Security

    • Email Security

    • Access Control

    • Secure Administration

    • Network Security

    • Cryptography

    • Cross Domain Security

    • Data Transfers and Content Filtering

    • Working Off–Site

  • Controls (328 страниц) предназначен для менеджеров ИБ, консультантов, аудиторов и других практических специалистов по ИБ и содержит детальный перечень из 1300 мер (control) необходимых для реализации Принципов и снижения рисков до приемлемого уровня.

 
Говорить о проблемах и задачах ИБ на разных уровнях и разными языками, это важно. Для сравнения, в РФ тоже появились сильные актуальные нормативные и методические документы по ИБ, но разделять их по аудитории не стали – всё идет в перемешку.

 
По австралийскому ISM мы с топ. менеджерами обсуждаем вопросы:

  • К какому ущербу может привести серьезный инцидент ИБ?

  • Кому выгодно получить доступ к нашей информации?

  • Что мы предпринимаем чтобы защитится против актуальных угроз?

  • Придерживаются ли мои подчиненные культуры ИБ в своей работе?

  • Готовы ли мы к оперативному реагированию на инцидент ИБ?

 
Для CISO по различным направлениям ИБ приводится обоснование необходимости (Rationale), область действия (Scope), принципы ИБ которых нужно придерживаться в данной области (Principles) и ссылки на дополнительные источники информации (References). Пример:

 

Для экспертов, консультантов и аудиторов приводится необходимая информация для внедрения и проверки внедрения мер ИБ. Информация сгруппирована блоками по различным направлениям ИБ, в каждом блоке приводится информация о целях принятия мер (Objective), области действия (Scope), описание ситуаций, когда данные меры применимы / не применимы (Context), меры ИБ (Controls) и ссылки на дополнительные источники информации (References). Пример:

 

В общем, данный стандарт представляется полезным. В связи с хорошей проработкой по всем направлениям ИБ, его можно использовать для решения отдельных задач, которые в других стандартах проработаны плохо. Планирую сделать ещё несколько статей по структуре документов ИБ, ролям и риск-ориентированному подходу из ISM.

 

 

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.