Что-то в последнее время все чаще слышу, что новый подход ФСТЭК России к обеспечению информационной безопасности (Приказы 21 и 17 + проект методических рекомендаций) " напоминают NIST SP 800-53 по своей идеологии ". От такого сравнения становится очень обидно за документы нашего регулятора, уж слишком "не дотягивают" до уровня "американского"... С тем же успехом можно сравнивать подход ФСТЭК России с любым другим стандартом по информационной безопасности, и, если захотите, то сходства найдете...
И нет бы пойти по пути простого перевода (ведь, ISO 27001-2005 переведен и стал ГОСТом, да и старая версия ISO 17799 тоже доступна в качестве ГОСТ). А этой задачей, насколько я знаю, занимались коллеги из ФСТЭКовского ГНИИИ ПТЗИ. Но нет, стали изобретать велосипед заново. Ну, ладно, что-то я отвлекся.
Итак, NIST SP 800-53 (rev 4 04-2013) " Security and Privacy Controls for Federal Information Systems and Organizations " довольно большой документ, 457 страниц.
Посмотрим, что есть в нем, и что забыли коллеги из ФСТЭК России (если, конечно, брали его за основу):
1. Оформление и содержание документа
Документ NIST довольно удобный, он состоит из 3 глав ("Introduction", "The fundamentals", "The process") и набора приложений. Что мне нравится в документе (и этого почему-то нет в подходе ФСТЭК России):
- Явно прописаны назначение и цели документа, целевая аудитория. А под кого писались документы ФСТЭК России? Для операторов? Нет, слишком сложно. Скорее для интеграторов и консультантов по ИБ...
- Даны ссылки на рабочие группы и конкретных разработчиков документов. Согласитесь, приятно знать кто, разрабатывал документ.
- Есть краткое описание документа, назначения его частей и приложений. На мой взгляд, введение и первые главы проекта методических рекомендации ФСТЭК России содержат мало полезно информации...
- Даны комментарии по изменениям документа, новой версии. Кстати, вы обратили внимание, что ФСТЭКовские документы обычно не пересматривают/дорабатывают, а переделывают с "0"? А вот у этого документа NIST уже 4я редакция...
- Дан глоссарий (на 25 страниц), терминология, кстати, выверена с прочими документами NIST. В документах ФСТЭК России все очень плохо с терминами. Явных ошибок, конечно, нет, но и единый глоссарий отсутствует.
- Есть маппинг с другими стандартами по информационной безопасности (например, ISO 27001 (2005) и ISO 15408).Это очень удобно при использовании и полезно при разработке документа.
- Общий перечень мер защиты представлен в разных вариантах (группировках), удобных для различных задач и аналитики. У ФСТЭК России такого нет...
- На каждой странице присутствуют дополнительные колонтитулы, позволяющие лучше ориентироваться в документе.В документах ФСТЭК России есть лишь номера страниц.
Вообще, на мой взгляд, оформление и структура документов, которые разрабатывают наши регуляторы не самые удачные и удобные. Может пора уже пересмотреть?
2. Постоянное совершенствование и управление рисками
В документе NIST явно прописана модель непрерывного совершенствования информационной безопасности, вот она:
В документах ФСТЭК России подход схожий, но регулярная оценка угроз прописана не в явном виде, совершенствование информационной безопасности предполагается, но прямых ссылок на это найти сложно, модель развития/совершенствования не определена.
3. Набор мер
3. Набор мер
В документе NIST определены следующие группы (family) мер:
- AC - Access Control
- AT - Awareness and Training
- AU - Audit and Accountability
- CA - Security Assessment and Authorization
- CM - Configuration Management
- CP - Contingency Planning
- IA - Identification and Authentication
- IR - Incident Response
- MP - Media Protection
- PE - Physical and Environmental Protection
- PL - Planning
- PS - Personnel Security
- RA - Risk Assessment
- SA - System and Services Acquisition
- SC - System and Communications Protection
- SI - System and Information Integrity
- MA - Maintenance
- PM - Program Management
Больше половины групп мер (да и сами меры из них) не нашли своего отражения в документах ФСТЭК России. Да и меры из остальных групп представлены тоже далеко не полно. Приведу пример мер из группы по управлению конфигурацией (CM), напомню, что в Приказе 21 это отдельная группа, а в Приказе 17 требования "размазаны" по тексту:
- CM-1 CONFIGURATION MANAGEMENT POLICY AND PROCEDURES
- CM-2 BASELINE CONFIGURATION
- CM-3 CONFIGURATION CHANGE CONTROL
- CM-4 SECURITY IMPACT ANALYSIS
- CM-5 ACCESS RESTRICTIONS FOR CHANGE
- CM-6 CONFIGURATION SETTINGS
- CM-7 LEAST FUNCTIONALITY
- CM-8 INFORMATION SYSTEM COMPONENT INVENTORY
- CM-9 CONFIGURATION MANAGEMENT PLAN
- CM-10 SOFTWARE USAGE RESTRICTIONS
- CM-11 USER-INSTALLED SOFTWARE
Большинство из этих мер вы не найдете в документах ФСТЭК России...
Ну, ладно, может быть "американцы" что-то забыли? ФСТЭК России оперирует следующими группами мер (в приказе 21 групп немного больше, но приказ 17 я бы брал за основу):
- ИАФ - Идентификация и аутентификация субъектов доступа и объектов доступа
- УПД - Управление доступом субъектов доступа к объектам доступа
- ОПС - Ограничение программной среды
- ЗНИ - Защита машинных носителей информации
- РСБ - Регистрация событий безопасности
- АВЗ - Антивирусная защита
- СОВ -Обнаружение вторжений
- АНЗ - Контроль (анализ) защищенности информации
- ОЦЛ - Обеспечение целостности информационной системы и информации
- ОДТ - Обеспечение доступности информации
- ЗСВ - Защита среды виртуализации
- ЗТС - Защита технических средств
- ЗИС - Защита информационной системы, ее средств и систем связи и передачи данных
Если опуститься на уровень описания мер, то там да, возможно наличие "уникальных" требований. Но я не уверен, что они очень важны и не описаны в NIST. Как вы понимаете, проверка займет много времени...
Вообще, обратите внимание, что группировка и наименование мер в документе NIST НАМНОГО удачнее и проще. Группы понимаются однозначно, количество мер в них сбалансировано, нет излишне сложных наименований мер типа "ЗИС.7 КОНТРОЛЬ САНКЦИОНИРОВАННОГО И ИСКЛЮЧЕНИЕ НЕСАНКЦИОНИРОВАННОГО ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА, В ТОМ ЧИСЛЕ РЕГИСТРАЦИЯ СОБЫТИЙ, СВЯЗАННЫХ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА, ИХ АНАЛИЗ И РЕАГИРОВАНИЕ НА НАРУШЕНИЯ, СВЯЗАННЫЕ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ МОБИЛЬНОГО КОДА".
А это, для сравнения, из Приказа 17:
4. Документирование ИБ (политики и процедуры)
В документе NIST в явном виде прописаны документированные требования и процедуры. Каждая первая мера в группе содержит описание именно документации. Например:
- IA-1 IDENTIFICATION AND AUTHENTICATION POLICY AND PROCEDURES
- IR-1 INCIDENT RESPONSE POLICY AND PROCEDURES
- MA-1 SYSTEM MAINTENANCE POLICY AND PROCEDURES
- MP-1 MEDIA PROTECTION POLICY AND PROCEDURES
- ...
ФСТЭК России тоже часто упоминает документы, регламентирующие управление и обеспечение информационной безопасности в компаниях. Точнее не сами документы, а обязательное требование по "регламентированию".
А сколько документов? Какой из уровень и наименования? Детализация и содержание? Ответы на эти вопросы нам ФСТЭК России не дает...
5. Приоретизация мер
В документе NIST определены приоритеты мер, сразу видно с чего следует начать внедрение, а что стоит пока "притормозить":
Вот, это первое, что бросилось в глаза при изучении документа NIST.
И даже при том, что структура описания мер из проекта методических рекомендации ФСТЭК России очень похожа на описание из NIST (в нем тоже есть меры и что-то типа "усиления", а также табличка под разные уровни), но этого явно не хватает для громких заявлений о схожести идеологии и преемственности опыта...
А еще можете посмотреть:
