В феврале 2013-го года президент США Барак Обама подписал указ №13636 "Усиление кибербезопасности критических инфраструктур", который среди прочего обязал американский институт по стандартизации NIST разработать базовую модель защиты американских критических инфраструктур (Cybersecurity Framework). Я был уверен, что за прошедшие 2,5 года я уже про нее писал, но оказалось, что нет. Поэтому исправляюсь.
Итак, Cybersecurity Framework была опубликована в феврале 2014-го года, а последнее ее обновление произошло в июле 2015-го. Заложенная в нее идея достаточно проста - унифицировать подходы по безопасности промышленных систем на протяжении всего жизненного цикла, опираясь на уже существующие стандарты и передовой опыт. Интересно, что NIST, как автор этой модели, не только активно сотрудничал с экспертным сообществом и коммерческими компаниями (ФСТЭК при разработке 31-го приказа действовал также), но и на выходе представил сразу несколько удобных в работе материалов:
Однако помимо схожих с 31-м приказом моментов, NIST сделать свой документ более практичным и конкретным. Например, он описал архитектуру промышленной сети с точки зрения ее построения и ее безопасности. Это так называемая пятиуровневая модель Университета Пурдью (Purdue), которая стала стандартом де-факто при проектировании промышленных систем. Она же вошла и в стандарт ISA SP99 и, позже, в IEC 62443, ставший наследником ISA SP99. Мне всегда не хватало в документах ФСТЭК иллюстративного материала (исключением, пожалуй, являются только документы по КСИИ).
Все защитные меры разбиты на 5 больших блоков (функций) - идентификация, защита, обнаружение, реагирование и восстановление. По сути, речь идет о жизненном цикле системы защиты любого объекта - от корпоративной до промышленной сети.
В каждом из пяти блоков затем выделяются несколько категорий защитных мер. Если вспомнить NIST SP800-53, то там упоминались 18 блоков защитных мер. В новом документе NIST число категорий возросло до 22. Расширение произошло за счет добавления ряда "бизнесовых" тем - управление рисками, корпоративное управление, бизнес-окружение и т.п., а также за счет перегруппировки ранее существовавших тем.
Наконец, NIST провел колоссальную работу по увязке предлагаемых защитных мер с уже существующими стандартами и практиками. В частности были учтены и даны ссылки на защитные меры из стандартов:
Для новой редакции 31-го приказа, а также иных документов по защите промышленных систем, данная модель Cybersecurity Framework от NIST более чем полезна. Уж, как минимум, в части систематизации информации.
- сам документ в форматах PDF и EPUB
- табличку защитных мер в формате Excel
- базу данных защитных мер в формате FileMaker Pro.
В основу модели была положена модифицированная триада - доступность, целостность и конфиденциальность, многим знакомая и по 31-му приказу, принятому примерно в тоже самое время.
Однако помимо схожих с 31-м приказом моментов, NIST сделать свой документ более практичным и конкретным. Например, он описал архитектуру промышленной сети с точки зрения ее построения и ее безопасности. Это так называемая пятиуровневая модель Университета Пурдью (Purdue), которая стала стандартом де-факто при проектировании промышленных систем. Она же вошла и в стандарт ISA SP99 и, позже, в IEC 62443, ставший наследником ISA SP99. Мне всегда не хватало в документах ФСТЭК иллюстративного материала (исключением, пожалуй, являются только документы по КСИИ).
Все защитные меры разбиты на 5 больших блоков (функций) - идентификация, защита, обнаружение, реагирование и восстановление. По сути, речь идет о жизненном цикле системы защиты любого объекта - от корпоративной до промышленной сети.
В каждом из пяти блоков затем выделяются несколько категорий защитных мер. Если вспомнить NIST SP800-53, то там упоминались 18 блоков защитных мер. В новом документе NIST число категорий возросло до 22. Расширение произошло за счет добавления ряда "бизнесовых" тем - управление рисками, корпоративное управление, бизнес-окружение и т.п., а также за счет перегруппировки ранее существовавших тем.
Наконец, NIST провел колоссальную работу по увязке предлагаемых защитных мер с уже существующими стандартами и практиками. В частности были учтены и даны ссылки на защитные меры из стандартов:
- NIST 800-82 и 800-53
- ISA/IEC-62443
- ISO 27001/02
- Стандарты ENISA
- Стандарт Катара
- Стандарт API
- Рекомендации ICS-CERT
- COBIT
- Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC) .
Для новой редакции 31-го приказа, а также иных документов по защите промышленных систем, данная модель Cybersecurity Framework от NIST более чем полезна. Уж, как минимум, в части систематизации информации.
