Не слежу постоянно за изменениями в InformationSecurity Manual (ISM) , которые происходят, кстати, ежемесячно (в отличие от документов российских регуляторов), но иногда заглядываю, как в лучшие практики. Вот и после вчерашнего (4 сентября) обновления решил посмотреть и написать – много интересного накопилось.
В течении года австралийский регулятор придумывал как бы перейти от комплаенс-ориентированного применения ISM, когда организации должны выполнять все обязательные требования к риск-ориентированному, в котором организации используют ISMкак framework для выбора мер защиты от актуальных рисков.
Теперь ISM = введение + Принципы + Руководства
Высокоуровневые общие для всех принципы кибер безопасности (Cyber Security Principles) которые обеспечат на стратегию организаций в том как защищать системы и информацию от кибер угроз. Принципы сгруппированы в рамках 4 процессов:
Ним разработана достаточно простая модель оценки зрелости. Организация должна иметь возможность продемонстрировать что эти принципы соблюдаются.
Далее идет набор из 22 руководств (Guidelines). Организации должны учитывать данные руководства при создании систем защиты в том объеме, который необходим для защиты каждой из систем в зависимости от актуальных рисков (кстати рекомендуют руководствоваться NIST SP 800-37 и ISO 31000:2018).
Руководства включают в себя тематически связанные наборы мер (controls) с разным приоритетом. Сами меры достаточно просто сформулированы – понятно, что надо делать.
Про инциденты
Про документы
Про VLAN
Про настройку ОС
Про пентесты
и тому подобное. В дополнительных материалах к ISMприводится шаблон Плана защиты (systemsecurity plan).
Если вам при создании системы защиты хотелось бы учитывать лучшие практики, то рекомендую Australian ISM.
