У NIST есть замечательный короткий документ про ИБ для малого бизнеса, о котором мало кто знает. Это " Small Business Information Security: The Fundamentals " (от октября 2009 год). А буквально пару дней назад стал доступен проект обновленной версии - DRAFT NISTIR 7621 Revision 1 "Small Business Information Security: The Fundamentals" , который тоже очень неплох!
Как говорит сам NIST:
Этот документ предназначен для представления простым (не техническим) языком базовых принципов программы ИБ для малого бизнеса.
This document is intended to present the fundamentals of a small business information security program in non-technical language.
На мой взгляд, он решает эту задачу на 100%. В теле документа содержаться общие рекомендации по защите информации, а в приложениях даются вопросники и шаблоны таблиц для идентификации ключевых информационных активов и оценки необходимости их защиты.
Рекомендации делятся на 3 типа: необходимые ("absolutely necessary"), важные ("highly recommended") и дополнительные ("more advanced"). По сравнению с версией 2009 года мер стало на 3 больше (появилась мера №1 из "необходимых", и №11 и 12 из "важных"). Также каждой мере приводится ее тип (ссылка на Cybersecurity Framework (CF) Functions), их 5: Identify (идентификация), Protect (защита), Detect (обнаружение), Respond (реагирование), Recover (восстановление).
Свел все меры в таблицу, но рекомендую посмотреть сами документы, они короткие (20 страниц 2009 года и 30 страниц в проекте 2014 года) и простые:
