ИБ. Лучшие практики CIS. 20 ключевых мер защиты
Недавно международное ИТ
сообщество CIS (Center for Internet Security) обновили свой документ с лучшими практиками
(20 CIS Controls)
мер защиты от актуальных угроз ИБ. В обновлении
немного поменялись формулировки мер защиты, угроз которым они противостоят, а
также добавлен новый подход к приоритизации мер, под названием – группы реализации
Implementation Group, о
которых надо рассказать подробнее:
Изначально TOP 20 CIS Critical
control – это был набор групп мер приоритезированных по критичности и
рекомендованному порядку их применения. Причем первые Basic меры считались основами кибер
гигиены, которые должны внедрить все компании (подробнее в моих предыдущих заметках)
Но оказалось, что для некоторых
малых и ограниченных в ресурсах компаний не по силам даже Basic группы меры. К тому же раньше не
учитывалась разная степень риска в разных организациях. Поэтому решено было разделить меры на группы
реализации IG1, IG2, IG3:
•
Implementation group 1 - IG1
Организация применяющие IG1 – в основном малый (иногда средний
бизнес), с ограниченным опытом в ИТ и кибербезопасности. Основная задача этих
организаций - сохранить бизнес в рабочем состоянии, а основной ущерб - от
простоя. Как правило обрабатывают не
критичные данные своих сотрудников и финансовую информацию. Если же организации
малого бизнеса обрабатывают критичные данные, то должны выполнять меры следующих
групп.
Меры защиты, реализуемые в рамках
группы IG1, должны осуществляться в варианте
требующем минимум компетенций в области ИБ и рассчитаны на коробочные решения оборудования
и ПО для малого бизнеса.
•
Implementation group 2 – IG2
В организациях, применяющих IG2 как правило есть выделенные работники отвечающие за
управление ИБ и защиты ИТ инфраструктуры. В таких организациях есть процессы и
подразделения разной степени критичности. Некоторые подразделения могут быть нацелены
в первую очередь на выполнение требований законодательства (compliance).
Организации группы IG2 как правило обрабатывают важную
информацию своих клиентов и контрагентов и устойчивы к коротким перерывам в
обслуживании. Основное беспокойство вызывает потеря репутации в случае инцидентов.
Частные меры группы IG2, помогают ответственным за
безопасность лицам, справляться с возрастающей сложностью процессов и операций.
Установки и настройки некоторых меры будут зависеть от имеющегося в компании
уровня технологий и экспертизы.
•
Implementation group 3 – IG3
В организациях группы IG3 тысячи работников, в том
числе имеются эксперты по безопасности, которые специализируются на различных
аспектах кибербезопасность (например, управление рисками, тестирование на
проникновение, безопасность приложений). Системы и данные организаций группы IG3
содержат конфиденциальную информацию или функции, которые строго регулируются
или должны соответствовать требованиям.
Организации группы IG3 должны
обеспечивать доступность услуг, конфиденциальность и целостность данных.
Успешные атаки могут нанести большой вред обществу. Меры защиты, выбранные для
IG3, направлены на противодействие целевым и новым атакам от нарушителей с высоким
потенциалом.
Пример, таблицы соответствия мер “Инвентаризация
и контроль ПО” и групп применения.
Не правда ли, похоже на уже
привычные по документам ФТСЭК / NIST базовые наборы мер в зависимости от класса систем. Кстати, у CIS уже есть таблицы соответствия CIS Controls –
NIST CSF, а значит легко можно
сделать аналогичную таблицу соответствия мерам из приказов ФСТЭК.
Далее можно использовать лучшее
что есть в CIS Controls – порядок реализации мер начиная с наиболее важных, рекомендации
по реализации процедур и использованию решений по автоматизации мер, метрики
для контроля эффективности мер. При этом
всё это в общем то не будет противоречить российскому законодательству по ИБ.
Комментарии