Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Лучшие практики ИБ из Австралии

ИБ. Лучшие практики ИБ из Австралии

Не слежу постоянно за изменениями в InformationSecurity Manual (ISM), которые происходят, кстати, ежемесячно (в отличие от документов российских регуляторов), но иногда заглядываю, как в лучшие практики. Вот и после вчерашнего (4 сентября) обновления решил посмотреть и написать – много интересного накопилось.

 

start.png
В течении года австралийский регулятор придумывал как бы перейти от комплаенс-ориентированного применения ISM, когда организации должны выполнять все обязательные требования к риск-ориентированному, в котором организации используют ISMкак framework для выбора мер защиты от актуальных рисков.
Теперь ISM = введение + Принципы + Руководства + Термины
Высокоуровневые общие для всех принципы кибер безопасности (Cyber Security Principles) которые обеспечат на стратегию организаций в том как защищать системы и информацию от кибер угроз. Принципы сгруппированы в рамках 4 процессов: 
principles.png
К ним разработана достаточно простая модель оценки зрелости. Организация должна иметь возможность продемонстрировать что эти принципы соблюдаются.    
Далее идет набор из 22 руководств (Guidelines). Организации должны учитывать данные руководства при создании систем защиты в том объеме, который необходим для защиты каждой из систем в зависимости от актуальных рисков (кстати рекомендуют руководствоваться NIST SP 800-37 и ISO 31000:2018).
Руководства включают в себя тематически связанные наборы мер (controls) с разным приоритетом. Сами меры достаточно просто сформулированы – понятно, что надо делать.
Про инциденты
incidents.png
Про документы
documents.png
Про VLAN
VLAN.png
Про настройку ОС
OS.png
Про пентесты
pentest.png
и тому подобное. В дополнительных материалах к ISMприводится шаблон Плана защиты (systemsecurityplan).
Если вам при создании системы защиты хотелось бы учитывать лучшие практики, то рекомендую AustralianISM.  


Источник: https://sborisov.blogspot.com/2019/09/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>