Австралийскоеправительство (Департамент защиты) недавно выпустило объемное руководство поинформационной безопасности , которое является частью их Государственнойполитики (за ссылку спасибо пользователю gvakiev с bankir.ru).
Целью документаявляется внедрение риск-ориентированного подхода в обеспечении ИБ. В документевводится и активно используется термин кибербезопасность (Cyber security) какчасть информационной безопасности.
Документ являетсяобязательным для госучреждений Австралии, организаций которые получают доступ кгосударственной непубличной информации, а так-же организаций заключившихспециальные соглашения Financial Management and Accountability Act,Commonwealth Authorities and Companies Act (как я понимаю сюда входят ключевыеорганизации и например Банки).
Документ состоитиз крупных областей обеспечения ИБ, каждый из которых делится на секции,посвященные определенным мерам (controls), каждая из которых состоит из разделов:
· целей применения меры защиты
· область действия и применимостьмеры
· описание применяемых мер (controls)
· обоснование для применениязащитных мер и разъяснения
· ссылки на внешние документы
Для каждойзащитной меры приводится пометка, для защиты какого класса информации онадолжна применяться (G – не публичная, P,C,S - секретная,TS–совершенно секретная).Для систем общего доступа предлагается выбирать меры защиты на свое усмотрение.
Для каждойзащитной меры приводится пометка:
· обязательная мера (required),
· обязательное мера, но может бытьпринято решение высшего руководства о компенсировании её другой мерой (must)
· обязательное мера, если рискактуален, может быть принято решение ответственного лица о неприменении (should)
· рекомендованная (recommended)
То естьобязательные меры в документе есть их немало.
Из интересненького:
Госучреждениядолжны уведомить специальный центр Cyber Security Operations CentreДепартамента защиты, если они приняли решение не применять обязательные меры иобосновать почему.
В документеописаны все государственные учреждение уполномоченные в области ИБ и приведеныих функции.
Сервис провайдеры,предоставляющие услуги госучреждению должны быть аккредитованы и внедрять те жемеры защиты что и учреждение.
В учреждениях вводятся такие обязательныедолжности ответственные за ИБ как:
· Agency head (must)
· ChiefInformation Security Officer (must)
· Securityadvisor (should)
· Informationtechnology security advisor (must)
· Informationtechnology security managers (must)
· Informationtechnology security officers (must)
Требуется чтобыони были и описывается распределение их обязанностей, так-же как и обязанностивладельцев систем и пользователей систем.
Предлагаетсяследующая структура документации по ИБ:
· Общая политика ИБ (must)
· План управления рискамибезопасности (охватывающий все системы must)
· План обеспечения безопасности (охватывающийвсе системы must)
· Операционные процедуры (для всехсистем should),в том числе процедуры для ITSM:
o Cyber security incidents
o Access control
o Asset musters
o Audit logs
o Configuration control
o Cyber security incidents
o Data transfers
o ICT equipment
o System integrity audit
o System maintenance
o User accountmanagement
процедуры дляSystem administrator:
o Access control
o Configuration control
o System backupand recovery
o User accountmanagement
процедуры дляSystem user:
o Cyber security incidents
o End of day
o Media control
o Passwords
o Temporary absence
· План реагирования на инциденты и процедурыдействий в чрезвычайных ситуациях (must)
Требуется сообщатьо всех значительных инцидентах кибербезопасности и рекомендуется сообщать о незначительныхинцидентах кибербезопасности в специальный центр Cyber Security OperationsCentre Департамента защиты.
В основном вдокументе речь идет про организационные мероприятия но есть разделы связанные сосредствами защиты информации, такими как:
· IntrusionDetection and Prevention (should)
· Защита email (should)
· Gateways (между разными доменами безопасности must)
· Content Filtering (must)
· Firewalls(must)
· Diodes (must)
Для некоторыхсредств так-же приводятся требования по сертификации на EAL2, EAL4 по ОК.
В общем всеприведенные меры и подход к ним в целом выглядят разумными. Я бы сказал это иесть те самые нужные “основные мероприятия” с учетом риск-анализа.
Документ получилсядовольно интересный и комплексный (как например СТО БР ИББС), можно почитатьчтобы понимать как ОНО делается в других странах.