7 февраля Ассоциация ИТ-безопасности Германии TeleTrusT подготовила и при поддержке ENISA перевела на английский язык руководство “Современный уровень” (Stateof the art) технических и организационных мер для немецкого закона IT Security Act и европейского GDPR.
В упомянутых НПА неоднократно говорится, что при выборе мер защиты необходимо принимать во внимание современный уровень техники (Stateof the art), наряду с затратами на меры защиты, объемом и целями обработки данных, вероятностью риска и степенью возможного вреда. Ранее нигде не было определено что такое современный уровень техники (State ofthe art) в ИТ безопасности и ассоциация TeleTrusT решила это исправить.
Была выбрана методология, по которой все меры защиты разделялись на 3 уровня:
· existing scientific knowledge and research (ESKaR) – научные знания и исследования
· state of the art (STOA) – современный уровень техники
· generally accepted rules of technology (GART) – общепринятые правила техники “несовременные”
Рабочая группа “State of theart” подготовила опросник, по которому каждая мера оценивалась по степени признания и степени проверки на практике. Они многократно повторили цикл оценки, в том числе с привлечением внешних экспертов и получили следящий перечень современных мер.
Технические меры:
· Безопасность серверов (Server hardening)
· Оценка надежности паролей (Password strength assessment)
· Обеспечение применения надежных паролей (Enforcing strong passwords)
· Многофакторная аутентификация (Multi-factor authentication)
· Криптографические процедуры (Cryptographic procedures)
· Шифрование диска (Disk encryption)
· Шифрование файлов и папок (Encryption of files and folders)
· Шифрование электронной почты (E-mailencryption)
· Инфраструктура PKI для безопасности коммуникаций (Securing electronic data communication with PKI)
· Шифрование каналов связи на 3 уровне - VPN (Useof VPNs (layer 3))
· Шифрование на 2 уровне (Layer 2 encryption)
· Безопасность облачного обмена файлами (Cloud-baseddata exchange)
· Безопасность данных, хранимых в облаке (Data storage inthe cloud)
· Безопасное использование мобильных сервисов (Use of mobile voice and data services)
· Безопасность сервисов мгновенного обмена сообщениями (Communication through instant messenger)
· Управление мобильными устройствами (Mobile Device Management)
· Безопасность активного сетевого оборудования (Router security)
· Обнаружение вторжений (Network monitoring using Intrusion Detection System)
· Web фильтрация (Web traffic protection)
· Безопасность web приложений (Web application protection)
· Безопасный удаленный доступ (Remote network access/ remote maintenance)
Организационные меры:
· Процессы ИБ
o Назначение ответственности за ИБ (Security organisation)
o Управление требованиями ИБ (Requirements management)
o Управлениеперечнем ИС (Management of scope of application)
o Управлениеполитиками ИБ (Management of information security guidelines)
o Управление рисками ИБ (Risk management)
o Управолениеприменимостью требований (Management of statement of applicability)
o Управление ресурсами ИБ (Resource management)
o Управлениезнаниями ИБ (Knowledge and competency management)
o Управление документацией и коммуникациями (Documentation and communication management)
o УправлениеИТ сервисами (IT service management)
§ Управление активами (Asset Management)
§ Повышение осведомленности (Training and awareness)
§ Эксплуатация (Operation)
§ Управление инцидентами (Incident Management)
§ Управление неприрывностью (Continuity Management)
§ Приобретение (Procurement)
§ Разработка ивнедрение (Software development and IT projects)
o Анализ эффективности (Performance monitoring management)
§ Технические аудиты (Technical system audits)
§ Аудиты соответствия, сертификации (Internal and external audits, ISMS certification)
o Управлениеулучшениями (Improvement management)
· Безопасная разработка ПО
· Аудиты и сертификация
По каждой технической мере указывается какие угрозы она нейтрализует и даются краткие ре рекомендации по её выполнению. Например, в криптографии: “TLS25, 26: TLS 1.3 combined with forward secrecy using secure algorithms as per BSI TR-02102-2, table 127. The use of tools such as: https://www.owasp.org/index.php/O-Saft and https://www.ssllabs.com/ssltest/ helps inspect TLS configuration.”
По организационным мерам – похуже. Для их оценки проводился не опрос специалистов, а анализ стандартов ISO, BSI, Cobit. Сами орг. меры описаны кратко – придется лезть в упомянутые стандарты за деталями.
Данный перечень рекомендуется как первый шаг при определении достаточных мер защит
ы и не заменяет консультации и индивидуальную оценку с учетом особенностей конкретной организации. Если кому-то будет интересно, в других статьях могу рассмотреть подробно отдельные меры.