ИБ. Лучшие практики мер безопасности из Германии

7 февраля Ассоциация ИТ-безопасности Германии TeleTrusT подготовила и при поддержке ENISA перевела на английский язык руководство “Современный уровень” (State of the art) технических и организационных мер для немецкого закона IT Security Act и европейского GDPR.

В упомянутых НПА неоднократно говорится, что при выборе мер защиты необходимо принимать во внимание современный уровень техники (State of the art), наряду с затратами на меры защиты, объемом и целями обработки данных, вероятностью риска и степенью возможного вреда. Ранее нигде не было определено что такое современный уровень техники (State of the art) в ИТ безопасности и ассоциация TeleTrusT решила это исправить.

Была выбрана методология, по которой все меры защиты разделялись на 3 уровня:

·         existing scientific knowledge and research (ESKaR) – научные знания и исследования

·         state of the art (STOA) – современный уровень техники

·         generally accepted rules of technology (GART) – общепринятые правила техники “несовременные”

Рабочая группа “State of the art” подготовила опросник, по которому каждая мера оценивалась по степени признания и степени проверки на практике. Они многократно повторили цикл оценки, в том числе с привлечением внешних экспертов и получили следующий перечень современных мер.

Технические меры:

·         Безопасность серверов (Server hardening)

·         Оценка надежности паролей (Password strength assessment)

·         Обеспечение применения надежных паролей (Enforcing strong passwords)

·         Многофакторная аутентификация (Multi-factor authentication)

·         Криптографические процедуры (Cryptographic procedures)

·         Шифрование диска (Disk encryption)

·         Шифрование файлов и папок (Encryption of files and folders)

·         Шифрование электронной почты (E-mail encryption)

·         Инфраструктура PKI для безопасности коммуникаций (Securing electronic data communication with PKI)

·         Шифрование каналов связи на 3 уровне - VPN (Use of VPNs (layer 3))

·         Шифрование на 2 уровне (Layer 2 encryption)

·         Безопасность облачного обмена файлами (Cloud-based data exchange)

·         Безопасность данных, хранимых в облаке (Data storage in the cloud)

·         Безопасное использование мобильных сервисов (Use of mobile voice and data services)

·         Безопасность сервисов мгновенного обмена сообщениями (Communication through instant messenger)

·         Управление мобильными устройствами (Mobile Device Management)

·         Безопасность активного сетевого оборудования (Router security)

·         Обнаружение вторжений (Network monitoring using Intrusion Detection System)

·         Web фильтрация (Web traffic protection)

·         Безопасность web приложений (Web application protection)

·         Безопасный удаленный доступ (Remote network access/ remote maintenance)

Организационные меры:

·         Процессы ИБ

o   Назначение ответственности за ИБ (Security organisation)

o   Управление требованиями ИБ (Requirements management)

o   Управление перечнем ИС (Management of scope of application)

o   Управление политиками ИБ (Management of information security guidelines)

o   Управление рисками ИБ (Risk management)

o   Управоление применимостью требований (Management of statement of applicability)

o   Управление ресурсами ИБ (Resource management)

o   Управление знаниями ИБ (Knowledge and competency management)

o   Управление документацией и коммуникациями (Documentation and communication management)

o   Управление ИТ сервисами (IT service management)

§  Управление активами (Asset Management)

§  Повышение осведомленности (Training and awareness)

§  Эксплуатация (Operation)

§  Управление инцидентами (Incident Management)

§  Управление неприрывностью (Continuity Management)

§  Приобретение (Procurement)

§  Разработка и внедрение (Software development and IT projects)

o   Анализ эффективности (Performance monitoring management)

§  Технические аудиты (Technical system audits)

§  Аудиты соответствия, сертификации (Internal and external audits, ISMS certification)

o   Управление улучшениями (Improvement management)

·         Безопасная разработка ПО

·         Аудиты и сертификация

По каждой технической мере указывается какие угрозы она нейтрализует и даются краткие ре рекомендации по её выполнению. Например, в криптографии: “TLS25, 26: TLS 1.3 combined with forward secrecy using secure algorithms as per BSI TR-02102-2, table 127. The use of tools such as: https://www.owasp.org/index.php/O-Saft and https://www.ssllabs.com/ssltest/ helps inspect TLS configuration.”

По организационным мерам – похуже. Для их оценки проводился не опрос специалистов, а анализ стандартов ISO, BSI, Cobit. Сами орг. меры описаны кратко – придется лезть в упомянутые стандарты за деталями.

Данный перечень рекомендуется как первый шаг при определении достаточных мер защиты и не заменяет консультации и индивидуальную оценку с учетом особенностей конкретной организации. 
В целом документ сравним с top20 мер защиты от SANS, только меры частично другие. Если кому-то будет интересно, в других статьях могу рассмотреть подробно отдельные меры.