Лучшие практики. Обзор изменений NIST 800-53

Недавно National Institute of Standards and Technology в США (NIST) обновили свой документ “Security and Privacy Controls for Information Systems and Organizations” до версии 5. Предыдущая версия была опубликована достаточно давно – почти 6 лет назад и за это время её скачали несколько миллионов раз, в том числе разработчики приказов ФСТЭК России брали за основу набор мер из 800-53.

Давайте посмотрим на интересные изменения:

·        Правила выбора мер, базовые наборы мер защиты, правила оценки соответствия, правила управления рисками были отделены от основного документа в отдельные документы: 800-53A, 800-53B и SP 800-37. Область применения этих документов не такая широкая как у основного документа

·        В основном документе 800-53 был оставлен только каталог мер защиты и комментарии по их применению. Сам каталог может использоваться самыми различными организациями для каких-то своих целей и внутренних требований именно как удобный, детальный каталог мер защиты. Таким образом существенно расширилась область применения основного документа.  

·        В описании области действия мер убрали упоминание система/организация. Теперь предполагается что каждая мера может внедряться как в организации в целом, так и для отдельных систем. Стало гибче.

·        Меры обеспечения безопасности ПДн (Privacy Controls), которые раньше шли отдельным каталогом (приложение J), теперь интегрированы с мерами ИБ в один каталог

·        Новая группа мер, посвященная управлению рисками от внешних поставщиков - Supply Chain Risk Management (SCRM), вполне соответствует актуальным современным угрозам

·        Новые наборы мер, связанные

o   cyber resiliency

o   secure systems design

o   security and privacy governance

o   accountability

·        В ближайшем будущем планируют создать интерактивный web портал, в котором будет в удобном виде представлена вся информация из 800-53, 800-53A и 800-53B.



В целом, для тех, кто ранее был не знаком с предыдущими версиями каталога, немного пройдусь по его интересным особенностям:

·        может использоваться для реализации любых внешних и внутренних требований (requirement) по ИБ

·        всего 321 мера защиты

·        всего 1189 усилений или уточнений мер защиты

·        четкая структура описания каждой меры защиты

o   условное обозначение

o   наименование

o   основная мера защиты

§  описание

§  уточнения по области применения

§  комментарий

§  связанные меры защиты

o   усиления меры защиты

o   ссылки на внешние документы с более детальным описанием

·        меры могут применяться как к организации в целом, так и к отдельным системам, а также hybrid, когда часть меры выполняется для всей организации, а часть только для отдельных систем.  В общем предполагается что в организации будет зафиксировано, какие меры планируются для организации в целом, а какие для отдельных систем.


Выводы:

·        Крайне интересный каталог мер защиты. Можно использовать его во всех организациях, особенно в тех, которые не подпадают в большом объеме под обязательные требования приказов ФСТЭК России

·        Так как ранее ФСТЭК-ом была проделана работа по адаптации мер из 800-53 в приказы ФСТЭК, то логично не останавливаться в этой работе, а также обновлять и дополнять единый каталог мер защиты ФСТЭК. Ниже сравнение групп мер из 5 версии NIST 800-53 и приказа ФСТЭК №239 (как наиболее свежего)

·        Сейчас в приказах ФСТЭК есть только условные обозначения и описания мер защиты. Потерялось все остальное (описание, связи, область применения, комментарии, ссылки на доп. источники информации)

·        Частично указанная выше информация была в методическом документе ФСТЭК по мерам защиты ГИС, но сейчас он уже теряет актуальность и требует обновления

·        Огромными офлановыми каталогами пользоваться не удобно, поэтому все идут по пути онлайн каталогов мер защиты. Вполне логично что на портале БДУ ФСТЭК России должен появится такой интерактивный каталог, а также мапинги на другие стандарты (хотя бы российские типа ГОСТ 57580)  

PS: Почему то аналогичные мои предложения по развитию национальных каталогов, методических документов и онлайн инструментов не нашли понимания в рабочей группе по ИБ в рамках Цифровой экономики. Надеюсь, там был альтернативный план, как не остаться в хвосте по сравнению с другими лучшими практиками.


PPS: Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале

TWITTER 
FACEBOOK
VK
Telegram



Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...