Стандарт надлежащей практики в области информационной безопасности ( SOGP ), опубликованный Форумом по информационной безопасности (ISF), представляет собой ориентированное на бизнес, практическое и всеобъемлющее руководство по выявлению и управлению рисками информационной безопасности в организациях и их цепочках поставок. [1]
Последнее издание — 2024 г. [2] , обновление издания 2022 г. Издание 2024 г. — первое, которое будет иметь постепенные обновления через веб-сайт ISF Live, в преддверии его двухгодичного обновления, запланированного на 2026 г.
После выпуска Стандарт 2011 года стал самым значительным обновлением стандарта за четыре года. Он охватывает «горячие темы» информационной безопасности, такие как потребительские устройства, критическая инфраструктура, киберпреступные атаки, офисное оборудование, электронные таблицы и базы данных, а также облачные вычисления.
Стандарт соответствует требованиям к системе управления информационной безопасностью (СУИБ), изложенным в стандартах серии ISO/IEC 27000 , и обеспечивает более широкий и глубокий охват тем управления ISO/IEC 27002 , а также облачных вычислений, утечки информации, потребительских устройств и управления безопасностью.
Помимо предоставления инструмента для сертификации по ISO 27001, стандарт предоставляет матрицы соответствия другим соответствующим стандартам и законодательным актам, таким как PCI DSS и NIST Cyber Security Framework, что также позволяет обеспечить соответствие этим стандартам.
Стандарт используется директорами по информационной безопасности (CISO), менеджерами по информационной безопасности, бизнес-менеджерами, ИТ-менеджерами, внутренними и внешними аудиторами, поставщиками ИТ-услуг в организациях всех размеров.
Стандарт доступен бесплатно для членов ISF. Не члены могут приобрести копию стандарта непосредственно в ISF.
Стандарт исторически был организован в шесть категорий или аспектов . Компьютерные установки и сети рассматривают базовую ИТ-инфраструктуру , на которой работают критически важные бизнес-приложения . Среда конечного пользователя охватывает мероприятия, связанные с защитой корпоративных и рабочих приложений на конечных точках, используемых отдельными лицами. Разработка систем касается того, как создаются новые приложения и системы, а Управление безопасностью рассматривает высокоуровневое руководство и контроль.
Стандарт теперь в основном публикуется в простом "модульном" формате, который устраняет избыточность. Например, были объединены различные разделы, посвященные аудиту и обзору безопасности.
Шесть аспектов в Стандарте состоят из ряда областей , каждая из которых охватывает определенную тему. Область далее разбита на разделы , каждый из которых содержит подробные спецификации передовой практики информационной безопасности . Каждое утверждение имеет уникальную ссылку. Например, SM41.2 указывает, что спецификация находится в аспекте управления безопасностью, области 4, разделе 1, и указана как спецификация № 2 в этом разделе.
Раздел «Принципы и цели» Стандарта представляет собой обобщенную версию Стандарта, объединяющую только принципы ( которые дают общее представление о том, что необходимо выполнить для соответствия Стандарту) и цели (которые описывают причину, по которой эти действия необходимы) для каждого раздела.
Опубликованный Стандарт также включает в себя обширную матрицу тем, индекс, вводный материал, справочную информацию, предложения по внедрению и другую информацию.
Список всех статей, связанных с компьютерной и информационной безопасностью , см. в разделе Категория: Компьютерная безопасность .
Узнайте все о стандартах ISO 27000