ИБ-домены

ИБ-домены
Занимаясь решением комплексных задач по линии информационной безопасности, всё чаще используются различные фреймворки, позволяющие систематизировать данную деятельность.
Но при этом фреймворков существует уже достаточно много, не только от ISO/IEC и NIST, как многие привыкли :):
- ISO/IEC 27001:2013 ( ссылка );
- NIST SP 800-53 r4 от 2013 ( ссылка );
- NIST SP 800-53 r5 от 2020 (draft, ссылка );
- NIST Cybersecurity Framework ( ссылка );
- Gartner Adaptive Security Architecture Model ( ссылка );
- CIS Controls ( ссылка );
- ISACA COBIT 5 for IS ( ссылка , хотя есть уже и более новый, но я с ним не работал ещё);
- приказ ФСТЭК России № 239 от от 25.12.2017 ( ссылка , или тот же 17-ый или 21-ый приказы);
- ГОСТ Р 57580.1-2017 ( ссылка ),
и даже домены в рамках сертификаций Certified Information Security Manager (CISM) и Certified Information Systems Security Professional (CISSP).
Какой из них выбрать?
Можно ли применять их "в лоб"?
Есть достаточно много вопросов по части применения фраймворков, но в данной заметке я затрону следующий вопрос: а как эти фреймворки согласуются между собой (как маппятся предложенные в них ИБ-домены)?
Понимая это уже можно решать: что взять из одного, а что из другого; где уровень абстракции выше, а где ниже и т.д.?
Уже существует немало подобных маппингов, но важно помнить, что многие стандарты – это не просто списки контролей/мер, в их "теле" так же есть важные блоки, которые необходимо учитывать в этом маппинге.
На картинке ниже представлена моя версия состава ИБ-доменов в указанных выше стандартах/документах и их маппинга между собой.
За основу (ориентир) в нем я взял NIST Cybersecurity Framework, а не ISO/IEC 27001, как многие привыкли. При этом NIST Cybersecurity Framework уже содержит в себе маппинг с другими стандартами, что является большой редкостью и большим полюсов (но при составлении данной заметки я на него почти не опирался, т.к. в нём идёт более низкоуровневое деленные).


ff683bf66212ab7f26d690523f3522a9.png

В заключении хотел бы отметить, что любой фреймворк потребует доработки именно под ваши реалии и контекст, поэтому успехов в выборе и адаптации вашего framework-а по линии информационной безопасности!
ISACA ISO NIST ГОСТ ИБ-домен
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только