СОИБ. Проектирование. 20 наиболее важных мер ИБ от SANS Institute

СОИБ. Проектирование. 20 наиболее важных мер ИБ от SANS Institute
В этом году известный в США институт SANSобновил документ “ 20 критических мер ИБ ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор.

Почему можно отнести данный документ к “лучшим практикам”?

В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании:
·        U.S. Department of Defense
·        Nuclear Laboratories of the U.S. Department of Energy
·        U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland Security
·        United Kingdom's Centre for the Protection of Critical Infrastructure
·        FBI
·        other law enforcement agencies
·        Australian Defence Signals Directorate
·        government and civilian penetration testers and incident handlers

Кроме того, был организован постоянно действующий международный консорциум из государственных и коммерческих компаний Consortium for Cybersecurity Action или CCA, основной целью которого является совершенствование документа, применение его на практике и обмен информацией об опыте его применения.

Как утверждают авторы, документ не статичный, постоянно развивается (текущая версия 4.1) и приведенные в нем меры соответствуют актуальным угрозам ИБ.

При разработке мер защиты авторы придерживались следующих 5-ти важнейших принципов:
·        Offense informs defense: при разработке мер защиты использовалась информация о наиболее актуальных способах атак
·        Prioritization: для каждой меры защиты определен её приоритет; это позволяет в первую очередь внедрять меры, которые уменьшают наиболее опасные риски;
·        Metrics: эффективность применяемых мер защиты должны быть измеряемой
·        Continuousmonitoring: необходимо применять постоянный мониторинг мер защиты
·        Automation: там где это возможно необходимо автоматизировать выполнение мер

Основная часть документа aс описанием мер ИБ имеет следующую структуру:
·        Обоснование необходимости меры ИБ (описание актуальных угроз и атак с ними связанных)
·        Перечень под мер ИБ которые необходимо принять. На самом деле 20 критических мер ИБ упомянутых в названии – это 20 крупных групп мер ИБ. Каждая группа мер состоит из 5-20 подмер (или подэтапов). Все подэтапы классифицированы по приоритетности, с учетом которой рекомендуется их применять (первые – наиболее приоритетные, последние наименее приоритетные):
o   Quick wins – меры которые быстро внедряются и уменьшают риски от наиболее опасных угроз
o   Visibilityandattributionmeasures– меры которые обеспечивают процессы управления ИБ  - мониторинг мер и оценку эффективности
o   Improved information security configuration and hygiene – меры по совершенствованию ИБ, повышению осведомленности
o   Advanced sub-controls – меры, которые обеспечивают дополнительную защищенность, связанные с новыми технологиями, как правило, наиболее сложные для внедрения
·        Соответствие предлагаемых мер, мерам из каталога NIST 800-53. Для нас этот раздел важен потому, что последние приказы ФСТЭК №17 и №21 во многом схожи с NIST 800-53. Таким образом мы можем поставить в соответствие например требуемые меры по защите ПДн и варианты их реализации из “20 критических мер ИБ”.
·        Варианты реализации и автоматизации выполнения меры ИБ
·        Метрики для изменения меры ИБ
·        Способы оценки эффективности/работоспособности меры ИБ
·        Примерная схема работы меры ИБ

Кроме того, в документе приводится рекомендованный план действий по внедрению 20 критических мер. Он понятен и я не буду его тут приводить. При необходимости прочитайте его в оригинале.

Вместо этого отмечу следующее – данный документ может быть очень полезен и при выполнении проектов по защите ПДн по новым нормативным актам. В тот момент, когда мы определили требуемы состав мер обеспечения безопасности ПДн у многих возникает вопрос, как можно реализовать эти меры. Вот при выборе способа реализации мер вам и пригодится документ “20 критических мер ИБ”.

Чем хорош документ “20 критических мер ИБ” – тем что в нем четко и понятно написано что надо сделать для реализации меры, приведена понятная схема применения мер.

В завершении приведу таблицу соответствия “20 критических мер ИБ” и NIST 800-53, которую я дополнил предположительным соответствием мерам из  приказа №21 ФСТЭК.



А так-же сводный постер по “20 критических мер ИБ” от SANS.





SANS СОИБ СЗПДн проектирование стандарт
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.