СОИБ. Австралийский стандарт ИБ


Австралийское правительство (Департамент защиты) недавно выпустило объемное руководство по информационной безопасности, которое является частью их Государственной политики (за ссылку спасибо пользователю gvakiev с bankir.ru).

Целью документа является внедрение риск-ориентированного подхода в обеспечении ИБ. В документе вводится и активно используется термин кибербезопасность (Cyber security) как часть информационной безопасности.
Документ является обязательным для госучреждений Австралии, организаций которые получают доступ к государственной непубличной информации, а так-же организаций заключивших специальные соглашения Financial Management and Accountability Act, Commonwealth Authorities and Companies Act (как я понимаю сюда входят ключевые организации и например Банки).
Документ состоит из крупных областей обеспечения ИБ, каждый из которых делится на секции, посвященные определенным мерам (controls), каждая из которых состоит из разделов:
·        целей применения меры защиты
·        область действия и применимость меры
·        описание применяемых мер (controls)
·        обоснование для применения защитных мер и разъяснения
·        ссылки на внешние документы
Для каждой защитной меры приводится пометка, для защиты какого класса информации она должна применяться (G – служебная, P - ограниченного доступаC-конфиденциальнаяS - секретная, TS –совершенно секретная). Для систем общего доступа предлагается выбирать меры защиты на свое усмотрение.
Для каждой защитной меры приводится пометка:
·        обязательная мера (required),
·        обязательное мера, но может быть принято решение высшего руководства о компенсировании её другой мерой (must)
·        обязательное мера, если риск актуален, может быть принято решение ответственного лица о неприменении (should)
·        рекомендованная (recommended) 
То есть обязательные меры в документе есть их немало.
Из интересненького:
Госучреждения должны уведомить специальный центр Cyber Security Operations Centre Департамента защиты, если они приняли решение не применять обязательные меры и обосновать почему.
В документе описаны все государственные учреждение уполномоченные в области ИБ и приведены их функции.
Сервис провайдеры, предоставляющие услуги госучреждению должны быть аккредитованы и внедрять те же меры защиты что и учреждение.
 В учреждениях вводятся такие обязательные должности ответственные за ИБ как:
·        Agency head (must)
·        Chief Information Security Officer (must)
·        Security advisor (should)
·        Information technology security advisor (must)
·        Information technology security managers (must)
·        Information technology security officers (must)
Требуется чтобы они были и описывается распределение их обязанностей, так-же как и обязанности владельцев систем и пользователей систем.
Предлагается следующая структура документации по ИБ:
·        Общая политика ИБ (must)
·        План управления рисками безопасности (охватывающий все системы must)
·        План обеспечения безопасности (охватывающий все системы must)
·        Операционные процедуры (для всех систем should), в том числе процедуры для ITSM:
o   Cyber security incidents
o   Access control
o   Asset musters
o   Audit logs
o   Configuration control
o   Cyber security incidents
o   Data transfers
o   ICT equipment
o   System integrity audit
o   System maintenance
o   User account management
процедуры для System administrator:
o   Access control
o   Configuration control
o   System backup and recovery
o   User account management
процедуры для System user:
o   Cyber security incidents
o   End of day
o   Media control
o   Passwords
o   Temporary absence
·        План реагирования на инциденты и процедуры действий в чрезвычайных ситуациях (must)
Требуется сообщать о всех значительных инцидентах кибербезопасности и рекомендуется сообщать о незначительных инцидентах кибербезопасности в специальный центр Cyber Security Operations Centre Департамента защиты.

В основном в документе речь идет про организационные мероприятия но есть разделы связанные со средствами защиты информации, такими как:
·        Intrusion Detection and Prevention (should)
·        Защита email (should)
·        Gateways (между разными доменами безопасности must)
·        Content Filtering  (must)
·        Firewalls (must)
·        Diodes (must)
Для некоторых средств так-же приводятся требования по сертификации на EAL2, EAL4 по ОК.
В общем все приведенные меры и подход к ним в целом выглядят разумными. Я бы сказал это и есть те самые нужные “основные мероприятия” с учетом риск-анализа.
Документ получился довольно интересный и комплексный (как например СТО БР ИББС), можно почитать чтобы понимать как ОНО делается в других странах. 

Комментарии

Unknown написал(а)…
Этот комментарий был удален администратором блога.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3