Не слежу постоянно за изменениями в InformationSecurity Manual (ISM), которые происходят, кстати, ежемесячно (в отличие от документов российских регуляторов), но иногда заглядываю, как в лучшие практики. Вот и после вчерашнего (4 сентября) обновления решил посмотреть и написать – много интересного накопилось.
В течении года австралийский регулятор придумывал как бы перейти от комплаенс-ориентированного применения ISM, когда организации должны выполнять все обязательные требования к риск-ориентированному, в котором организации используют ISM как framework для выбора мер защиты от актуальных рисков.
Теперь ISM = введение + Принципы + Руководства + термины
- Высокоуровневые общие для всех принципы кибер безопасности (Cyber Security Principles) которые обеспечат на стратегию организаций в том как защищать системы и информацию от кибер угроз. Принципы сгруппированы в рамках 4 процессов:
Ним разработана достаточно простая модель оценки зрелости. Организация должна иметь возможность продемонстрировать что эти принципы соблюдаются.
- Далее идет набор из 22 руководств (Guidelines). Организации должны учитывать данные руководства при создании систем защиты в том объеме, который необходим для защиты каждой из систем в зависимости от актуальных рисков (кстати рекомендуют руководствоваться NIST SP 800-37 и ISO 31000:2018).
Руководства включают в себя тематически связанные наборы мер (controls) с разным приоритетом. Сами меры достаточно просто сформулированы – понятно, что надо делать.
Про инциденты
Про документы
Про VLAN
Про настройку ОС
Про пентесты
- В дополнительных материалах к ISM приводится шаблон Плана защиты (system security plan).
Если вам при создании системы защиты хотелось бы учитывать лучшие практики, то рекомендую Australian ISM.
PS: также смотрите другие статьи по теме лучших практик безопасности в моем блоге