СОИБ. Лучшие практики. 20 наиболее важных мер ИБ от SANS Institute
В этом году известный в США
институт SANS обновил
документ “20 критических мер ИБ” (Twenty Critical Security Controls for
Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его
краткий обзор.
Почему можно отнести данный
документ к “лучшим практикам”?
В его разработке участвовала
группа экспертов из разных стран, включающая как государственные, так и
коммерческие компании:
·
U.S. Department of Defense
·
Nuclear
Laboratories of the U.S. Department of Energy
·
U.S.
Computer Emergency Readiness Team of the U.S. Department of Homeland Security
·
United
Kingdom's Centre for the Protection of Critical Infrastructure
·
FBI
·
other
law enforcement agencies
·
Australian
Defence Signals Directorate
·
government
and civilian penetration testers and incident handlers
Кроме того, был организован постоянно
действующий международный консорциум из государственных и коммерческих компаний
Consortium for Cybersecurity Action или CCA, основной целью которого является совершенствование документа, применение его на практике и обмен информацией об
опыте его применения.
Как утверждают авторы, документ
не статичный, постоянно развивается (текущая версия 4.1) и приведенные в нем
меры соответствуют актуальным угрозам ИБ.
При разработке мер защиты авторы
придерживались следующих 5-ти важнейших принципов:
·
Offense informs defense: при разработке мер
защиты использовалась информация о наиболее актуальных способах атак
·
Prioritization: для каждой меры защиты
определен её приоритет; это позволяет в первую очередь внедрять меры, которые уменьшают
наиболее опасные риски;
·
Metrics: эффективность
применяемых мер защиты должны быть измеряемой
·
Continuous monitoring: необходимо применять постоянный
мониторинг мер защиты
·
Automation: там где это возможно необходимо
автоматизировать выполнение мер
Основная часть документа aс описанием мер ИБ имеет
следующую структуру:
·
Обоснование необходимости меры ИБ (описание
актуальных угроз и атак с ними связанных)
·
Перечень под мер ИБ которые необходимо принять.
На самом деле 20 критических мер ИБ упомянутых в названии – это 20 крупных
групп мер ИБ. Каждая группа мер состоит из 5-20 подмер (или подэтапов). Все подэтапы
классифицированы по приоритетности, с учетом которой рекомендуется их применять
(первые – наиболее приоритетные, последние наименее приоритетные):
o
Quick wins – меры которые быстро внедряются и уменьшают
риски от наиболее опасных угроз
o
Visibility and attribution measures – меры которые обеспечивают процессы управления ИБ - мониторинг мер и оценку эффективности
o
Improved
information security configuration and hygiene – меры по
совершенствованию ИБ, повышению осведомленности
o
Advanced sub-controls – меры, которые
обеспечивают дополнительную защищенность, связанные с новыми технологиями, как
правило, наиболее сложные для внедрения
·
Соответствие предлагаемых мер, мерам из каталога
NIST 800-53. Для нас этот раздел важен потому, что последние приказы ФСТЭК №17
и №21 во многом схожи с NIST 800-53. Таким образом мы можем поставить в соответствие
например требуемые меры по защите ПДн и варианты их реализации из “20
критических мер ИБ”.
·
Варианты реализации и автоматизации выполнения
меры ИБ
·
Метрики для изменения меры ИБ
·
Способы оценки эффективности/работоспособности
меры ИБ
·
Примерная схема работы меры ИБ
Кроме того, в документе
приводится рекомендованный план действий по внедрению 20 критических мер. Он
понятен и я не буду его тут приводить. При необходимости прочитайте его в
оригинале.
Вместо этого отмечу следующее – данный
документ может быть очень полезен и при выполнении проектов по защите ПДн по
новым нормативным актам. В тот момент, когда мы определили требуемы состав мер
обеспечения безопасности ПДн у многих возникает вопрос, как можно реализовать
эти меры. Вот при выборе способа реализации мер вам и пригодится документ “20
критических мер ИБ”.
Чем хорош документ “20
критических мер ИБ” – тем что в нем четко и понятно написано что надо сделать
для реализации меры, приведена понятная схема применения мер.
В завершении приведу таблицу
соответствия “20 критических мер ИБ” и NIST 800-53, которую я дополнил
предположительным соответствием мерам из приказа №21 ФСТЭК.
А так-же сводный постер по “20
критических мер ИБ” от SANS.
Комментарии