В этом году известный в США институт SANSобновил документ “ 20 критических мер ИБ ” (Twenty Critical Security Controls for Effective Cyber Defense). Документ интересный, поэтому хочу привести тут его краткий обзор.
Почему можно отнести данный документ к “лучшим практикам”?
В его разработке участвовала группа экспертов из разных стран, включающая как государственные, так и коммерческие компании:
· U.S. Department of Defense
· Nuclear Laboratories of the U.S. Department of Energy
· U.S. Computer Emergency Readiness Team of the U.S. Department of Homeland Security
· United Kingdom's Centre for the Protection of Critical Infrastructure
· FBI
· other law enforcement agencies
· Australian Defence Signals Directorate
· government and civilian penetration testers and incident handlers
Кроме того, был организован постоянно действующий международный консорциум из государственных и коммерческих компаний Consortium for Cybersecurity Action или CCA, основной целью которого является совершенствование документа, применение его на практике и обмен информацией об опыте его применения.
Как утверждают авторы, документ не статичный, постоянно развивается (текущая версия 4.1) и приведенные в нем меры соответствуют актуальным угрозам ИБ.
При разработке мер защиты авторы придерживались следующих 5-ти важнейших принципов:
· Offense informs defense: при разработке мер защиты использовалась информация о наиболее актуальных способах атак
· Prioritization: для каждой меры защиты определен её приоритет; это позволяет в первую очередь внедрять меры, которые уменьшают наиболее опасные риски;
· Metrics: эффективность применяемых мер защиты должны быть измеряемой
· Continuousmonitoring: необходимо применять постоянный мониторинг мер защиты
· Automation: там где это возможно необходимо автоматизировать выполнение мер
Основная часть документа aс описанием мер ИБ имеет следующую структуру:
· Обоснование необходимости меры ИБ (описание актуальных угроз и атак с ними связанных)
· Перечень под мер ИБ которые необходимо принять. На самом деле 20 критических мер ИБ упомянутых в названии – это 20 крупных групп мер ИБ. Каждая группа мер состоит из 5-20 подмер (или подэтапов). Все подэтапы классифицированы по приоритетности, с учетом которой рекомендуется их применять (первые – наиболее приоритетные, последние наименее приоритетные):
o Quick wins – меры которые быстро внедряются и уменьшают риски от наиболее опасных угроз
o Visibilityandattributionmeasures– меры которые обеспечивают процессы управления ИБ - мониторинг мер и оценку эффективности
o Improved information security configuration and hygiene – меры по совершенствованию ИБ, повышению осведомленности
o Advanced sub-controls – меры, которые обеспечивают дополнительную защищенность, связанные с новыми технологиями, как правило, наиболее сложные для внедрения
· Соответствие предлагаемых мер, мерам из каталога NIST 800-53. Для нас этот раздел важен потому, что последние приказы ФСТЭК №17 и №21 во многом схожи с NIST 800-53. Таким образом мы можем поставить в соответствие например требуемые меры по защите ПДн и варианты их реализации из “20 критических мер ИБ”.
· Варианты реализации и автоматизации выполнения меры ИБ
· Метрики для изменения меры ИБ
· Способы оценки эффективности/работоспособности меры ИБ
· Примерная схема работы меры ИБ
Кроме того, в документе приводится рекомендованный план действий по внедрению 20 критических мер. Он понятен и я не буду его тут приводить. При необходимости прочитайте его в оригинале.
Вместо этого отмечу следующее – данный документ может быть очень полезен и при выполнении проектов по защите ПДн по новым нормативным актам. В тот момент, когда мы определили требуемы состав мер обеспечения безопасности ПДн у многих возникает вопрос, как можно реализовать эти меры. Вот при выборе способа реализации мер вам и пригодится документ “20 критических мер ИБ”.
Чем хорош документ “20 критических мер ИБ” – тем что в нем четко и понятно написано что надо сделать для реализации меры, приведена понятная схема применения мер.
В завершении приведу таблицу соответствия “20 критических мер ИБ” и NIST 800-53, которую я дополнил предположительным соответствием мерам из приказа №21 ФСТЭК.
А так-же сводный постер по “20 критических мер ИБ” от SANS.
