Чаще всего, когда я решаю какие-либо менеджерские/процессные вопросы информационной безопасности и ищу вдохновения и хороших идей, то обращаюсь к стандартам и "лучшим практикам". Чаще всего это ISO 27001/27002 и COBIT5 for Information Security. Но недавно коллега (спасибо, Евгений) подсказал еще один хороший документ - " The ISF Standard of Good Practice for Information Security 2018 ".
"The ISF Standard of Good Practice for Information Security 2018 is the leading authority on information security.The Standard’s comprehensive controls and coverage of current and emerging information security topics enable organisations to respond to the rapid pace at which threats, technology and risks evolve. Implementing the Standard helps organisations to:– be agile and exploit new opportunities, while ensuring that associated information risks are kept within acceptable levels– respond to rapidly evolving threats, including sophisticated cyber attacks, using threat intelligence to increase cyber resilience– identify how regulatory and compliance requirements can best be met.The Standard presents business-orientated information security topics with practical and trusted guidance, helping Members to deliver up-to-date good practice that can be integrated with their business processes, information security policy, risk management and compliance arrangements."
Стандарт крайне интересный и полезный. По сути, он дает рекомендацию по комплексному и системному подходу к ИБ. Получается что-то типа обновленной и расширенной версии ISO 27002. Вообще, документ "впитал в себя" подходы разных стандартов и "лучших практик": ISO/IEC 27001:2013, ISO/IEC 27002:2013, ISO/IEC 27005:2011, ISO/IEC 27014:2013, ISO/IEC 27019:2017, ISO/IEC 27036, ISO/IEC 22301:2012, NIST Cybersecurity Framework v1.0, CIS Top 20 v6.1, PCI DSS v3.2, COBIT 5 for Information Security, CSA Cloud Control Matrix v3.0.1, IEC-62443. Но именно у ISO 27002 взяли, на мой взгляд, больше всего.
Общая суть такая же, в документе представлено 17 доменов с общими рекомендациями.
Или вот краткая майндкарта:
Каждый домен описан по одинаковой структуре и содержит целую пачку рекомендаций "без воды".
Например, на днях я занимался актуализацией внутренних требований по классификации и обработке конфиденциальной информации (Information Classification and Handling) и с пользой обращался к этому документу. Вот пример одного из десяти топиков по теме:
M1.1.1There should be an information classification scheme that applies across the organisation, which:
a) is used to determine varying levels of confidentiality of information (e.g. confidential, internal and public)
b) provides a description of each level of confidentiality
c) takes into account the value of information to the organisation and the potential business impact from the loss of confidentiality of information
d) lists examples of information types for each specific classification level.
Вроде бы информация простая и очевидная, но обращает внимания на необходимость описания требований по обработке не только лишь конфиденциальной информации, но и других уровней конфиденциальности (общедоступная и внутренняя информация). Про это обычно все забывают...
Ну. в общем, документ интересен. И помимо рекомендаций по доменам ИБ, в нем можно найти еще довольно неплохой каталог угроз (на днях гляну его повнимательнее, может расширим свой реестр рисков), рекомендации по проведению оценки влияния на бизнес (BIA) и простую, но толковую модель активов. Вот она:
P.S. Полную версию майндкарты по стандарту (в PDF и XMind) можно скачать в группе в ВК - https://vk.com/isms8020