вторник, 30 июня 2015 г.

СОИБ. Анализ. Лучшие практики по ИБ из Австралии

 Во время подготовки одной из предыдущих статей про структуру документов ИБ наткнулся на очередные изменения в лучших практиках – австралийской Information Security Manual, который мне захотелось рассмотреть поподробнее.


Почему данный документ можно отнести к лучшим практикам? По моим наблюдениям документ обновляется каждый год, учитывает современные тенденции, придерживается риск-ориентированного подхода к обязательным требованиям, имеет иерархическую структуру, применяется для широкого круга организаций.


По сравнению с предыдущим обзором ISM в 2012 году, ISM разделился на 3 документа, каждый из которых имеет свои цели и свою аудиторию:
·         Executive Companion (28 страниц) предназначен для руководства организаций и содержит описание основных угроз и нарушителей, 5 ключевых вопросов, на которые нужно ответить руководителю о состоянии ИБ в организации и даже пример ответов (case study)
·         Principles (78 страниц) предназначен для CISO, CIO и ответственных за ИБ и содержит основные принципы ИБ, которые необходимо учитывать при разработке политики ИБ, сгруппированы по блокам:  
o   Information Security Risk Management
o   Outsourced Information Technology Services
o   Roles and Responsibilities
o   Information Security Documentation
o   System Accreditation
o   Information Security Monitoring
o   Cyber Security Incidents
o   Physical Security
o   Personnel Security
o   Communications Infrastructure
o   Communications Systems and Devices
o   PSPF Mandatory Requirement INFOSEC 4 Explained
o   Product Security
o   Media Security
o   Software Security
o   Email Security
o   Access Control
o   Secure Administration
o   Network Security
o   Cryptography
o   Cross Domain Security
o   Data Transfers and Content Filtering
o   Working Off–Site
·         Controls (328 страниц) предназначен для менеджеров ИБ, консультантов, аудиторов и других практических специалистов по ИБ и содержит детальный перечень из 1300 мер (control) необходимых для реализации Принципов и снижения рисков до приемлемого уровня.

Говорить о проблемах и задачах ИБ на разных уровнях и разными языками, это важно. Для сравнения, в РФ тоже появились сильные актуальные нормативные и методические документы по ИБ, но разделять их по аудитории не стали – всё идет в перемешку.

По австралийскому ISM мы с топ. менеджерами обсуждаем вопросы:
·         К какому ущербу может привести серьезный инцидент ИБ?
·         Кому выгодно получить доступ к нашей информации?
·         Что мы предпринимаем чтобы защитится против актуальных угроз?
·         Придерживаются ли мои подчиненные культуры ИБ в своей работе?
·         Готовы ли мы к оперативному реагированию на инцидент ИБ?

Для CISO по различным направлениям ИБ приводится обоснование необходимости (Rationale), область действия (Scope), принципы ИБ которых нужно придерживаться в данной области (Principles) и ссылки на дополнительные источники информации (References). Пример:



Для экспертов, консультантов и аудиторов приводится необходимая информация для внедрения и проверки внедрения мер ИБ. Информация сгруппирована блоками по различным направлениям ИБ, в каждом блоке приводится информация о целях принятия мер (Objective), области действия (Scope), описание ситуаций, когда данные меры применимы / не применимы (Context), меры ИБ (Controls) и ссылки на дополнительные источники информации (References). Пример:



В общем, данный стандарт представляется полезным. В связи с хорошей проработкой по всем направлениям ИБ, его можно использовать для решения отдельных задач, которые в других стандартах проработаны плохо. Планирую сделать ещё несколько статей по структуре документов ИБ, ролям и риск-ориентированному подходу из ISM.

Комментариев нет: