Стандарт надлежащей практики информационной безопасности - Standard of Good Practice for Information Security

Стандарт надлежащей практики 2011 г.

В Стандарт надлежащей практики информационной безопасности, опубликованный Форум информационной безопасности (ISF), представляет собой ориентированное на бизнес практическое и всестороннее руководство по выявлению и управлению информационная безопасность риски в организациях и их цепочках поставок.

Самая последняя редакция - 2020 год, обновление издания 2018 года.

После выпуска Стандарт 2011 года стал самым значительным обновлением стандарта за четыре года. Он охватывает «горячие темы» информационной безопасности, такие как потребительские устройства, критически важная инфраструктура, киберпреступные атаки, офисное оборудование, электронные таблицы и базы данных, а также облачные вычисления.

Стандарт 2011 года приведен в соответствие с требованиями к Система управления информационной безопасностью (СМИБ) изложены в ISO / IEC серии 27000 стандартов, и обеспечивает более широкий и глубокий охват ISO / IEC 27002 темы контроля, а также облачные вычисления, утечка информации, потребительские устройства и управление безопасностью.

Стандарт 2011 года не только предоставляет инструмент для сертификации ISO 27001, но и обеспечивает полный охват COBIT v4 и обеспечивает существенное согласование с другими соответствующими стандартами и законодательством, такими как PCI DSS и Закон Сарбейнса Оксли, чтобы обеспечить соответствие этим стандартам.

Стандарт используется директорами по информационной безопасности (CISO), менеджерами по информационной безопасности, бизнес-менеджерами, ИТ-менеджерами, внутренними и внешними аудиторами, поставщиками ИТ-услуг в организациях любого размера.

Стандарт 2018 доступен бесплатно для членов ISF. Не члены могут приобрести копию стандарта непосредственно в ISF.

Организация

Стандарт исторически разделен на шесть категорий, или аспекты. Компьютерные установки и Сети обратиться к основным ИТ-инфраструктура на котором Критические бизнес-приложения запустить. В Среда конечного пользователя охватывает меры, связанные с защитой корпоративных приложений и приложений рабочих станций на конечных точках, используемых отдельными лицами. Разработка систем касается того, как создаются новые приложения и системы, и Управление безопасностью обращается к руководству и контролю на высоком уровне.

Стандарт теперь в основном публикуется в простом «модульном» формате, исключающем избыточность. Например, были объединены различные разделы, посвященные аудиту и анализу безопасности.

АспектФокусЦелевая аудиторияПроблемы исследованыОбъем и охват
Управление безопасностью (в масштабах всего предприятия)Управление безопасностью на уровне предприятия.Целевая аудитория аспекта SM обычно включает:Обязательство высшего руководства по продвижению передовых практик информационной безопасности на предприятии наряду с выделением соответствующих ресурсов.Механизмы управления безопасностью в рамках:
  • Группа компаний (или эквивалент)
  • Часть группы (например, дочерняя компания или бизнес-единица)
  • Отдельная организация (например, компания или государственный департамент)
Критически важные бизнес-приложенияБизнесс заявление это критически важно для успеха предприятия.Целевая аудитория аспекта CB обычно включает:
  • Владельцы бизнес-приложений
  • Лица, отвечающие за бизнес-процессы, зависящие от приложений
  • Системные интеграторы
  • Технический персонал, например члены группы поддержки приложений.
Требования безопасности приложения и меры, принятые для идентификации риски и удерживать их на приемлемом уровне.Важнейшие бизнес-приложения любого:
  • Тип (включая обработку транзакций, управление процессом, перевод средств, обслуживание клиентов и приложения для рабочих станций)
  • Размер (например, приложения, поддерживающие тысячи пользователей или всего несколько)
Компьютерные установкиКомпьютерная установка, поддерживающая одно или несколько бизнес-приложений.Целевая аудитория аспекта CI обычно включает:
  • Владельцы компьютерных инсталляций
  • Лица, ответственные за бег дата-центры
  • IT менеджеры
  • Третьи стороны, которые управляют компьютерными установками для организации
  • ИТ-аудиторы
Как определяются требования к компьютерным услугам; и как компьютеры настроены и работают, чтобы соответствовать этим требованиям.Компьютерные установки:
  • Всех размеров (включая самый большой мэйнфрейм, сервер -системы и группы рабочих станций)
  • Работа в специализированных средах (например, в специально построенном центре обработки данных) или в обычных рабочих средах (например, в офисах, фабриках и складах)
СетиА сеть который поддерживает одно или несколько бизнес-приложенийЦелевая аудитория аспекта NW обычно включает:
  • Руководители специализированных сетевых функций
  • Сетевые менеджеры
  • Третьи стороны, которые предоставляют сетевые услуги (например, Интернет-провайдеры )
  • ЭТО аудиторы
Как определяются требования к сетевым услугам; и как сети настроены и работают, чтобы соответствовать этим требованиям.Любой тип сети связи, в том числе:
  • Глобальные сети (WAN) или локальные сети (ЛВС)
  • Крупномасштабные (например, в масштабе предприятия) или небольшие (например, отдельный отдел или бизнес-единица)
  • Те, которые основаны на интернет-технологиях, таких как интрасети или же экстранет
  • Голос, данные или интегрированный
Разработка системА разработка систем подразделение или отдел, или конкретный проект разработки систем.Целевая аудитория аспекта SD обычно включает
  • Руководители функций разработки систем
  • Системные разработчики
  • ИТ-аудиторы
Как определяются бизнес-требования (включая требования к информационной безопасности); и как системы спроектированы и построены для удовлетворения этих требований.Девелоперская деятельность всех видов, в том числе:
  • Проекты любого масштаба (от многих рабочих лет до нескольких рабочих дней)
  • Те, которые проводятся разработчиками любого типа (например, специализированными подразделениями или отделами, аутсорсеры, или бизнес-пользователи)
  • Те, которые основаны на индивидуальном программном обеспечении или пакетах приложений
Среда конечного пользователяСреда (например, бизнес-подразделение или отдел), в которой люди используют корпоративные бизнес-приложения или критически важные приложения для рабочих станций для поддержки бизнес-процессов.Целевая аудитория аспекта UE обычно включает:
  • Бизнес-менеджеры
  • Лица в среде конечного пользователя
  • Локальные координаторы по информационной безопасности
  • Менеджеры по информационной безопасности (или аналогичные)
Организация обучения пользователей и осведомленность; использование корпоративных бизнес-приложений и критически важных приложений для рабочих станций; и защита информации, связанной с Мобильные вычисления.Среды конечного пользователя:

Шесть аспектов стандарта состоят из ряда области, каждый из которых посвящен определенной теме. Область разбита на разделы, каждый из которых содержит подробные спецификации информационная безопасность лучшая практика. Каждый оператор имеет уникальную ссылку. Например, SM41.2 указывает, что спецификация относится к аспекту управления безопасностью, область 4, раздел 1, и указана как спецификация № 2 в этом разделе.

Часть Принципов и Целей Стандарта предоставляет высокоуровневую версию Стандарта, объединяя только принципы (которые предоставляют обзор того, что необходимо сделать, чтобы соответствовать Стандарту) и цели (которые указывают причину, по которой эти действия необходимы) для каждого раздела.

Опубликованный стандарт также включает в себя обширную матрицу тем, указатель, вводный материал, справочную информацию, предложения по внедрению и другую информацию.

Смотрите также

Видеть Категория: Компьютерная безопасность для списка всех статей, связанных с вычислениями и информационной безопасностью.

Рекомендации


внешняя ссылка