Стандарт надлежащей практики для информационной безопасности, опубликованный Форумом информационной безопасности (ISF) - это ориентированное на бизнес, практическое и всеобъемлющее руководство по выявлению рисков информационной безопасности и управлению ими в организациях и их цепочках поставок.
Самая последняя редакция - 2020, обновление редакции 2018 года.
После выпуска Стандарт 2011 года стал самым значительным обновлением стандарта за четыре года. Он охватывает «горячие темы» информационной безопасности, такие как потребительские устройства, критическая инфраструктура, киберпреступные атаки, офисное оборудование, электронные таблицы и базы данных, а также облачные вычисления.
Стандарт 2011 года согласован с требованиями к (СМИБ), изложенными в стандартах ISO / IEC серии 27000, и обеспечивает более широкий и глубокий охват ISO / IEC 27002. темы управления, а также облачные вычисления, утечка информации, потребительские устройства и управление безопасностью.
В дополнение к предоставлению инструмента для сертификации ISO 27001, Стандарт 2011 обеспечивает полное покрытие тем COBIT v4 и предлагает существенное согласование с другими соответствующими стандартами и законодательством, такими как PCI DSS и Закон Сарбейнса-Оксли, чтобы также обеспечить соблюдение этих стандартов.
Стандарт используется директорами по информационной безопасности (CISO), менеджерами по информационной безопасности, бизнес-менеджерами, ИТ-менеджерами, внутренними и внешними аудиторами, поставщиками ИТ-услуг в организациях любого размера.
Стандарт 2018 доступен бесплатно для членов ISF. Не члены могут приобрести копию стандарта непосредственно в ISF.
Стандарт исторически разделен на шесть категорий или аспектов. Компьютерные установки и Сети обращаются к базовой ИТ-инфраструктуре, на которой работают критически важные бизнес-приложения . Среда конечного пользователя охватывает меры, связанные с защитой корпоративных приложений и приложений рабочих станций на конечных точках, используемых отдельными лицами. Разработка систем занимается созданием новых приложений и систем, а Управление безопасностью обращается к руководству и управлению на высоком уровне.
Стандарт теперь в основном публикуется в простом «модульном» формате, исключающем избыточность. Например, были объединены различные разделы, посвященные аудиту и обзору безопасности.
Аспект | Фокус | Целевая аудитория | Рассматриваемые проблемы | Объем и охват |
---|---|---|---|---|
Управление безопасностью (в масштабе предприятия) | Управление безопасностью на уровне предприятия. | Целевая аудитория аспекта SM обычно включает:
| Обязательство высшего руководства по продвижению передовых практик информационной безопасности на предприятии наряду с выделением соответствующих ресурсов. | Механизмы управления безопасностью в пределах:
|
Критические бизнес-приложения | Бизнес приложение, которое имеет решающее значение для успеха предприятия. | Целевая аудитория аспекта CB обычно включает:
| Требования безопасности приложения и меры, принятые для выявления рисков и удержания их на приемлемых уровнях. | Критически важные бизнес-приложения любого:
|
Установка на компьютере | Установка на компьютере, поддерживающая одно или несколько бизнес-приложений. | Целевая аудитория аспекта CI обычно включает:
| Как определяются требования к компьютерным услугам; и как компьютеры настроены и работают, чтобы соответствовать этим требованиям. | Компьютерные установки:
|
Сети | A сети, поддерживающие одно или несколько бизнес-приложений | Целевая аудитория аспекта NW обычно включает:
| Как определяются требования к сетевым услугам; и как сети настраиваются и работают, чтобы соответствовать этим требованиям. | Любой тип коммуникационной сети, в том числе:
|
Разработка систем | A разработка систем подразделение или отдел, или конкретный проект разработки системы. | Целевая аудитория аспекта SD обычно включает
| Как бизнес-требования ( включая требования информационной безопасности) идентифицированы; и как системы спроектированы и построены для удовлетворения этих требований. | Разработка всех типов, включая:
|
Среда конечного пользователя | Среда (например, бизнес-подразделение или отдел), в котором люди используют корпоративные бизнес-приложения или критически важные приложения для рабочих станций для поддержки бизнес-процессов. | Целевая аудитория аспекта UE обычно включает:
| меры по обучению пользователей и осведомленности ; использование корпоративных бизнес-приложений и критически важных приложений для рабочих станций; и защита информации, связанной с мобильными вычислениями. | Средами конечного пользователя:
|
Шесть аспектов стандарта состоят из количество областей, каждая из которых охватывает определенную тему. Область разбита на разделы, каждый из которых содержит подробные спецификации информационной безопасности передовых методов. Каждое утверждение имеет уникальную ссылку. Например, SM41.2 указывает, что спецификация относится к аспекту управления безопасностью, область 4, раздел 1, и указана как спецификация №2 в этом разделе.
Часть «Принципы и цели» Стандарта предоставляет высокоуровневую версию Стандарт, объединив только принципы (которые обеспечивают n обзор того, что необходимо выполнить, чтобы соответствовать Стандарту) и целей (которые определяют причину, почему эти действия необходимы) для каждого раздела.
Опубликованный стандарт также включает в себя обширную матрицу тем, указатель, вводный материал, справочную информацию, предложения по внедрению и другую информацию.
См. Категория: Компьютерная безопасность для получения списка всех статей, связанных с компьютерами и информационной безопасностью.
.