СОИБ. Австралийский стандарт ИБ

СОИБ. Австралийский стандарт ИБ

Австралийскоеправительство (Департамент защиты) недавно выпустило объемное руководство поинформационной безопасности , которое является частью их Государственнойполитики (за ссылку спасибо пользователю gvakiev с bankir.ru).

Целью документаявляется внедрение риск-ориентированного подхода в обеспечении ИБ. В документевводится и активно используется термин кибербезопасность (Cyber security) какчасть информационной безопасности.
Документ являетсяобязательным для госучреждений Австралии, организаций которые получают доступ кгосударственной непубличной информации, а так-же организаций заключившихспециальные соглашения Financial Management and Accountability Act,Commonwealth Authorities and Companies Act (как я понимаю сюда входят ключевыеорганизации и например Банки).
Документ состоитиз крупных областей обеспечения ИБ, каждый из которых делится на секции,посвященные определенным мерам (controls), каждая из которых состоит из разделов:
·       целей применения меры защиты
·       область действия и применимостьмеры
·       описание применяемых мер (controls)
·       обоснование для применениязащитных мер и разъяснения
·       ссылки на внешние документы
Для каждойзащитной меры приводится пометка, для защиты какого класса информации онадолжна применяться (G – не публичная, P,C,S - секретная,TS–совершенно секретная).Для систем общего доступа предлагается выбирать меры защиты на свое усмотрение.
Для каждойзащитной меры приводится пометка:
·       обязательная мера (required),
·       обязательное мера, но может бытьпринято решение высшего руководства о компенсировании её другой мерой (must)
·       обязательное мера, если рискактуален, может быть принято решение ответственного лица о неприменении (should)
·       рекомендованная (recommended) 
То естьобязательные меры в документе есть их немало.
Из интересненького:
Госучреждениядолжны уведомить специальный центр Cyber Security Operations CentreДепартамента защиты, если они приняли решение не применять обязательные меры иобосновать почему.
В документеописаны все государственные учреждение уполномоченные в области ИБ и приведеныих функции.
Сервис провайдеры,предоставляющие услуги госучреждению должны быть аккредитованы и внедрять те жемеры защиты что и учреждение.
 В учреждениях вводятся такие обязательныедолжности ответственные за ИБ как:
·       Agency head (must)
·       ChiefInformation Security Officer (must)
·       Securityadvisor (should)
·       Informationtechnology security advisor (must)
·       Informationtechnology security managers (must)
·       Informationtechnology security officers (must)
Требуется чтобыони были и описывается распределение их обязанностей, так-же как и обязанностивладельцев систем и пользователей систем.
Предлагаетсяследующая структура документации по ИБ:
·       Общая политика ИБ (must)
·       План управления рискамибезопасности (охватывающий все системы must)
·       План обеспечения безопасности (охватывающийвсе системы must)
·       Операционные процедуры (для всехсистем should),в том числе процедуры для ITSM:
o  Cyber security incidents
o  Access control
o  Asset musters
o  Audit logs
o  Configuration control
o  Cyber security incidents
o  Data transfers
o  ICT equipment
o  System integrity audit
o  System maintenance
o  User accountmanagement
процедуры дляSystem administrator:
o  Access control
o  Configuration control
o  System backupand recovery
o  User accountmanagement
процедуры дляSystem user:
o  Cyber security incidents
o  End of day
o  Media control
o  Passwords
o  Temporary absence
·       План реагирования на инциденты и процедурыдействий в чрезвычайных ситуациях (must)
Требуется сообщатьо всех значительных инцидентах кибербезопасности и рекомендуется сообщать о незначительныхинцидентах кибербезопасности в специальный центр Cyber Security OperationsCentre Департамента защиты.

В основном вдокументе речь идет про организационные мероприятия но есть разделы связанные сосредствами защиты информации, такими как:
·       IntrusionDetection and Prevention (should)
·       Защита email (should)
·       Gateways (между разными доменами безопасности must)
·       Content Filtering (must)
·       Firewalls(must)
·       Diodes (must)
Для некоторыхсредств так-же приводятся требования по сертификации на EAL2, EAL4 по ОК.
В общем всеприведенные меры и подход к ним в целом выглядят разумными. Я бы сказал это иесть те самые нужные “основные мероприятия” с учетом риск-анализа.
Документ получилсядовольно интересный и комплексный (как например СТО БР ИББС), можно почитатьчтобы понимать как ОНО делается в других странах. 

СОИБ стандарт
Alt text

Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей. Смотрите новый выпуск на нашем Yotube канале