Міжнародні стандарти інформаційної безпеки

У статті наведено короткий огляд найбільш відомих та значущих міжнародних стандартів у галузі інформаційної безпеки (ІБ), які є методологічною опорою при підвищенні захищеності ІТ-активів. Вивчення міжнародних практик дозволяє почерпнути найкращі ідеї зарубіжних організацій, сформувати чи модифікувати свою концептуальну модель інформаційної безпеки, а також вивчити та впровадити методи та способи її досягнення.

Зміст:

Вступ

На даний момент існує велика кількість підходів до забезпечення та управління інформаційною безпекою. Найбільш ефективні їх формалізовані в стандарти.Міжнародні стандарти та методології в галузі ІБ та управління ІТ є орієнтиром при побудові інформаційної безпеки, а також допомагають у вирішенні пов’язаних з цією діяльністю завдань усіх рівнів, як стратегічних і тактичних, так і операційних. Спробуємо розібратися в ідеях популярних зарубіжних стандартів і тому, як вони можуть застосовуватися на практиці.

Навіщо потрібні ІБ-стандарти

Кожному спеціалісту, який має відношення до інформаційної безпеки, бажано ознайомитися з найбільш відомими методологіями в галузі ІБ, а також навчитися застосовувати їх на практиці. Вивчення найкращих практик дає можливість дізнатися:

  • термінологію у сфері ІБ;
  • загальні підходи до побудови ІБ;
  • загальноприйняті процеси ІБ та рекомендації щодо їх вибудовування;
  • конкретні заходи захисту – контролі ІБ;
  • ролі та зони відповідальності при побудові процесів ІБ;
  • підходи до виміру зрілості процесів ІБ;
  • і багато іншого.

Міжнародні ІБ-стандарти розвиваються роками, і за цей час встигли вдосконалитися та увібрати в себе найкращий досвід практикуючих фахівців, у тому числі найкращі практики в галузі розвитку ІТ.Ще однією перевагою вивчення стандартів є можливість продуктивної взаємодії у співтоваристві ІБ-фахівців — загальновизнані стандарти міжнародного рівня дозволяють їм спілкуватися між собою та з внутрішніми підрозділами компанії однією мовою з використанням усталених термінів та визначень. У тому числі це допомагає доводити керівництву необхідність тих чи інших ІБ-заходів формулюваннями, зрозумілими бізнесу. Варто зазначити, що ІБ завжди йде пліч-о-пліч з ІТ, і для підвищення ефективності роботи дуже важливо вміти встановлювати комунікації з ІТ. У цьому ІБ-фахівцю допомагає вивчення таких стандартів, як ITIL та COBIT.

Які бувають ІБ-стандарти

Існує безліч систем поглядів та різних способів угруповання стандартів. Методи класифікації розрізняються за цілями та завданням застосування.Розглянемо стандарти з прикладної та процесної точок зору. Стандарти можна розділити на:

  1. Технічні чи контрольні (control), що регламентують різні аспекти реалізації заходів захисту.
  2. Процесно-орієнтовані, що описують похід до вибудовування процесів та побудови ІБ в цілому.

Технічні стандарти допомагають провести будівництво технічного захисту інформації — вибрати необхідний комплекс захисних заходів і провести їх грамотне налаштування.Процесноорієнтовані стандарти описують похід до вибудовування окремих процесів.Якщо процесно-орієнтовані стандарти дозволяють відповісти на питання «що робити?», то технічні дають практичні рекомендації та відповідають на питання «як це реалізувати?».До процесно-орієнтованих стандартів відносяться: серія ISO/IEC 27XXX, керівництво ITIL, методологія COBIT тощо.У частині технічних стандартів варто відзначити проект OWASP top 10, CIS Controls, а також CIS Benchmarks, які містять детальну інформацію щодо безпеки ІТ-елементів інфраструктури, що допомагає протидіяти широкому спектру загроз.Проте не завжди варто однозначно ділити стандарти на категорії. Один стандарт може агрегувати у собі інформацію з кількох напрямах. Так, наприклад, стандарт PCI DSS (стандарт безпеки даних індустрії платіжних карток) відображає комплексний підхід до забезпечення ІБ та містить як вимоги до управління безпекою, правил і процедур, так і великий перелік технічних вимог до критично важливих заходів захисту.

Короткий огляд ІБ-стандартів

COBIT

Міжнародна асоціація ISACA (Information Systems Audit and Control Association), відома розробкою стандартів з управління ІТ у корпоративному середовищі та сертифікаціями, що проводяться (наприклад, CISA, CISM, CRISC), та Інститут керівництва ІТ (IT Governance Institute — ITGI) спільно розробили підхід до управління інформаційними технологіями 1996 року на його основі організація ISACF випустила першу версію стандарту COBIT. З часом та з розвитком підходів до управління ІТ концепція COBIT переглядалася та розширювалася. Сьогодні найновішою версією методології є COBIT 2019, що стала продуктом еволюції п’ятої версії стандарту (перегляд відбувся у грудні 2018 року). COBIT 2019 описує набір процесів, найкращих практик та метрик для вибудовування ефективного управління та контролю,Основою стандарту є 40 високорівневих цілей контролю, згрупованих у чотири домени, два з яких присвячені інформаційній безпеці):

Читайте також  У Galaxy S10 погано працюють сканери відбитків, але Samsung обіцяє це виправити
  1. “COBIT 2019 Framework: Introduction and Methodology” – “COBIT 2019 Бізнес-модель: Введення та методологія”.
  2. COBIT 2019 Framework: Governance and Management Objectives – COBIT 2019 Бізнес-модель: Завдання керівництва та управління.
  3. «COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution – «Проектування рішення щодо керівництва інформацією та технологіями».
  4. «COBIT 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing and Information and Technology Governance Solution» — «Впровадження та оптимізація рішення щодо керівництва інформацією та технологіями».

Таким чином, стандарт охоплює всю діяльність компанії та дозволяє широко поглянути на управління ІТ та ІБ. Стандарт має високорівневий характер, тобто говорить, що має бути досягнуто, але не пояснює, як. За допомогою принципів COBIT 2019 можна мінімізувати ризики та контролювати повернення інвестицій у ІТ та засоби інформаційного захисту.

ITIL та ITSM

Бібліотека інфраструктури інформаційних технологій або ITIL (The IT Infrastructure Library) – це набір публікацій (бібліотека), що описує загальні принципи ефективного використання ІТ-сервісів. Бібліотека ITIL застосовується для практичного впровадження підходів IT Service Management (ITSM) — проектування сервісів та ІТ-інфраструктури компанії, а також забезпечення їхньої зв’язності.ITIL можна розглядати у тому числі з погляду інформаційної безпеки, оскільки для успішного використання ІТ та підтримуваних послуг необхідно забезпечувати доступність, цілісність та конфіденційність ІТ-інфраструктури. Це досягається правильним керуванням ІТ-безпекою. Бібліотека містить розділ, присвячений питанням безпеки у структурі процесів ITIL. У матеріалах ITIL не прописані конкретні вимоги до засобів захисту, лише дається опис спільної організації безпечної роботи ІТ-сервісів. У бібліотеці можна знайти як основні принципи створення самого процесу управління ІБ, так і ключові рекомендації щодо підтримки СУІБ — Системи управління інформаційною безпекою (Information Security Management System або ISMS). Якщо COBIT визначає ІТ-мети, то ITIL вказує кроки лише на рівні процесів. Крім того, бібліотека містить рекомендації щодо вибудовування суміжних процесів, наприклад, з управління інцидентами, що дозволяє комплексно поглянути на вибудовування процесів та їх інтеграцію до ІТ-середовища. Бібліотека ITIL корисна фахівцям, завдання яких входить вибудовування процесу управління ІТ-послугами та інтеграція ІБ у цей підхід. Знання документа дозволяє їм розмовляти з ІТ-службою однією мовою – мовою ІТ-сервісів.

ISO

Серія ISO/IEC 27XXXНайбільш відомим і популярним набором стандартів серед зарубіжних ІБ-фахівців, до якого звертаються в першу чергу при впровадженні СУІБ, є документи із серії ІБ-стандартів ISO/IEC 27XXX.Найвідоміший стандарт серії — ISO/IEC 27001:2013, що визначає аспекти менеджменту інформаційної безпеки та містить найкращі практики з вибудовування процесів для підвищення ефективності управління ІБ. Стандарт декларує ризик-орієнтований підхід, який дозволяє вибрати необхідні заходи та засоби захисту, що найкраще відповідають потребам та інтересам бізнесу. За результатами впровадження стандарту ISO/IEC 27001:2013, компанія може пройти сертифікацію. Так само, як і концепція ITIL, ISO/IEC 27001:2013 як модель управління якістю бере за основу Цикл Демінга-Шухарта PDCA (англ. «Plan-Do-Check-Act» — «планування-дія-перевірка-коригування») що означає безперервне вдосконалення ІБ-процесів.Стандарт ISO/IEC 27001:2013 складається із двох частин:

Читайте також  CEO Realme: компанія вирушить підкорювати Європу і США
  • Опис підходу до створення СУІБ;
  • Додаток А (вимоги ІБ та засоби їх реалізації, структуровані за розділами).

Також фахівці часто звертаються до стандарту ISO/IEC 27002:2013 (раніше виходив під номером ISO/IEC 17799), який більш детально розкриває високорівневі вимоги ISO/IEC 27001:2013 щодо вибудовування процесів у СУІБ. Документ описує практичні заходи, що рекомендуються в галузі управління інформаційною безпекою.

ISO/IEC 27000:2013 Information technology. Security techniques. Information security management systems. Overview and vocabularyТерміни та визначення.
ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. RequirementsСистеми забезпечення інформаційної безпеки. Документ визначає вимоги до СУІБ та засоби їх реалізації.
ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security managementМетоди та засоби забезпечення інформаційної безпеки. Стандарт роз’яснює практичні аспекти управління ІБ із більш детальним описом засобів реалізації, наведених у ISO/IEC 27001:2013.
ISO/IEC 27003:2017 Information technology. Security techniques. Information security management system implementation guidanceРеалізація систем управління інформаційної безпеки. Посібник з реалізації СУІБ, що описує всі етапи впровадження.
ISO/IEC 27004:2016 Information technology. Security techniques. Information security management. MeasurementВимірювання ефективності інформаційної безпеки. Описує підхід до використання метрик з метою оцінки ефективності СУІБ. Стандарт застосовується до компаній, які досягли четвертого (керованого) рівня зрілості процесів ІБ згідно CMMI.
ISO/IEC 27005:2018 Information technology. Security techniques. Information security risk management (також можна звернутися до ISO 31000:2018 — Risk management)Менеджмент ризику інформаційної безпеки. Стандарт призначений визначення в компанії підходу до менеджменту ризиків.
ISO/IEC 27035:2016 Information technology. Security techniques. Information security incident management (Part 1 & Part 2)Управління інцидентами та подіями ІБ. Стандарт містить керівні вказівки щодо планування та підготовки до реагування на інциденти.

Повний перелік стандартів серії можна знайти на сайті Міжнародної організації зі стандартизації https://www.iso.org/ru/home.html .ISO/IEC 15408Ще одним стандартом, застосовуваним закордонними ІБ-фахівцями, є ISO 15408, що складається з трьох частин:

  1. ISO/IEC 15408-1:2009 Evaluation criteria for IT security — Part 1: Introduction and general model — Загальні критерії оцінки безпеки інформаційних технологій.
  2. ISO/IEC 15408-2:2008 Evaluation criteria for IT security — Part 2: Security functional components model — Функціональні компоненти безпеки.
  3. ISO/IEC 15408-3:2008 Evaluation criteria for IT security — Part 3: Security assurance components — Компоненти довіри до безпеки.

Перша частина стандарту містить єдині критерії оцінки безпеки ІТ-систем на програмно-апаратному рівні (за аналогією з документом «Критерії оцінки придатності комп’ютерних систем Міністерства оборони», також відомим як «Помаранчева книга» зі стандартів «Райдужної серії» Міністерства оборони США). Стандарт ISO/IEC 15408-1:2009 визначає повний перелік об’єктів аналізу та вимог до них, не загострюючи уваги на методах створення, управління та оцінки системи безпеки.Друга частина наводить вимоги до функціональності засобів захисту, які можуть бути використані при аналізі захищеності з метою оцінки повноти реалізованих функцій безпеки.Третя частина серії містить обґрунтування погроз, політик та вимог. Стандарт визначає компоненти довіри до безпеки, каталогізує набори компонентів та класів довіри. ISO/IEC 15408-3:2008 включає оціночні рівні довіри, що визначають шкалу вимірювання та компоненти довіри, а також критерії оцінки профілів захисту та завдань безпеки.Загалом ці стандарти містять технічну частину, не наголошуючи на питаннях управління інформаційною безпекою.

NIST

NIST – National Institute of Standards and Technology – американський національний інститут стандартизації, аналог вітчизняного Держстандарту. До складу інституту входить Центр з комп’ютерної безпеки, який публікує з початку 1990-х років Стандарти (FIPS), а також детальні роз’яснення/рекомендації (Special Publications) у сфері інформаційної безпеки.Для рекомендацій в області ІБ (Special Publications) NIST виділили спеціальну серію з кодом 800, що складається з десятків рекомендацій.Серія містить документи, що описують підходи до управління інформаційною безпекою та висвітлює технічні питання її забезпечення (забезпечення безпеки мобільних пристроїв, захист хмарних обчислень, вимоги до аутентифікації, віддаленого доступу тощо).Нижче наведено короткий перелік найпопулярніших документів:

Читайте також  Як розблокувати iPhone: якщо забув пароль
NIST SP 800-53Контроль безпеки та конфіденційності для федеральних інформаційних систем та організацій
NIST SP 800-50Створення програми підвищення обізнаності з безпеки ІТ
NIST SP 800-40Управління вразливістю
NIST SP 800-53 AВимірювання ефективності інформаційної безпеки
NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30Менеджмент ризиків
NIST SP 800-61 / NIST SP 800-86Управління інцидентами

Однією з найвідоміших публікацій є стандарт NIST SP 800-53 “Security and Privacy Controls for Federal Information Systems and Organizations”, що містить опис засобів реалізації вимог ІБ та рекомендації щодо їх застосування. У стандарті дається більш докладний опис засобів реалізації порівняно з документом вищого рівня ISO/IEC 27001 Додаток А. Так само, як і в ISO, засоби реалізації NIST SP 800-53 розбиті на домени, що відповідають різним областям забезпечення ІБ.  Ще одним відомим у спеціалістів документом є NIST 800-30, який визначає підходи до організації діяльності з управління ризиками ІБ. Цей документ часто розглядають у парі з ISO/IEC 27005:2018, який (як і всі документи серії) має більш високорівневий характер. На відміну від ISO/IEC 27005:2018, документ NIST містить більш розгорнуті описи та рекомендації щодо застосування.

SANS. CIS 20

SANS – організація з навчання та сертифікації в області ІБ, найбільш відома своїми посібниками з безпечного настроювання різних систем (Benchmarks) і переліком ключових заходів захисту Top 20 Critical Security Controls (CSC), що включає 20 рекомендацій щодо захисту ІТ-інфраструктури. ІБ-фахівці можуть використовувати цей документ як контрольний список під час перевірки безпеки систем.Міжнародна ІТ-спільнота CIS (Center for Internet Security) регулярно оновлює рекомендації з найкращими практиками заходів захисту від актуальних ІБ-загроз. Заходи поділені на групи реалізації залежно від особливостей організації. Найбільш зручним є ранжування CIS Controls – порядок реалізації заходів, починаючи з найважливіших.Посібники CIS Benchmarks – дуже корисний інструмент для налаштування або перевірки різних елементів ІТ-інфраструктури на предмет захищеності. Повний список включає близько 140 настанов, згрупованих з різних тем: .

  • Desktops & Web Browsers
  • Mobile Devices
  • Network Devices
  • Security Metrics
  • Servers – Operating Systems
  • Servers – Other
  • Virtualization Platforms & Cloud
  • інші.

Крім цього, CIS Benchmarks дає рекомендації з налаштування конфігурацій для систем Linux, Windows, Checkpoint, Cisco, Apache, MySQL, Oracle, VMware, а також містить інструкції з налаштування Docker і Kubernetes, що набирають популярність. З повним переліком можна ознайомитись на сайті CIS https://www.cisecurity.org/cis-benchmarks/ .

O-ISM3

p align=”justify”> При формуванні вимог безпеки необхідно враховувати рівень зрілості компанії – рівень її організаційного та технологічного розвитку. Для ефективного використання ІБ необхідно застосовувати модель зрілості процесів. Вона дозволяє оцінити рівень зрілості ІБ-процесів та визначити пріоритетні напрями розвитку безпеки в компанії.Модель О-ISM3 (Open Information Security Management Maturity Model) розроблена незалежним консорціумом The Open Group та дозволяє провести оцінку зрілості функціонування існуючих процесів СУІБ компанії.Модель О-ISM3 оперує чотирма рівнями управління СУІБ: базовий, стратегічний, тактичний та операційний. Згідно з моделлю О-ISM3, процеси СУІБ класифікуються за п’ятьма рівнями зрілості:

  1. Початковий (Initial)
  2. Керований (Managed)
  3. Описаний (Defined)
  4. Контрольований (Controlled)
  5. Оптимізований (Optimized)

Рівень визначається аудитором на підставі визначених метрик та документації. Існує велика кількість інструментів для оцінки зрілості процесів (CMMI, NIST, BPM від Gartner та ін.) і кожен визначає свій підхід, до якого ІБ-спеціалісту необхідно звертатися при побудові моделі зрілості.

Висновок

У статті розглянуто найбільш популярні міжнародні стандарти у сфері інформаційної безпеки. Але кількість стандартів, що представляють інтерес, набагато більша. Для вирішення нетривіальних завдань необхідно звертати увагу не тільки на найчастіше згадані з них. Наприклад, Центр із забезпечення безпеки в кіберпросторі (Australian Cyber ​​Security Centre) Австралійського союзу розробив Посібник з інформаційної безпеки (Australian Government Information Security Manual), що відображає як технічні рекомендації для забезпечення ІБ (перелік посібників), так і стратегічні обґрунтування, які ІБ-спеціалісти можуть використовувати у діалозі з бізнесом.Крім цього, існує багато організацій та проектів, метою яких є практичне забезпечення безпеки та публікації яких допомагають ІБ-фахівцям перевіряти свої об’єкти захисту на вразливості. Прикладами є проект OWASP, звіти команди ICS-CERT, база даних MITRE. Інші корисні інструменти – фреймворки OSSTMM, Penetration Testing Framework, ISSAF та ін, що допомагають проводити технічне обстеження на предмет захищеності.Необхідно розуміти, що для якісної побудови системи ІБ потрібно агрегувати знання та поєднувати підходи, отримані з різних джерел, тому що кожна система поглядів містить плюси та мінуси та вимагає адаптації до умов конкретної компанії. Фахівцям з інформаційної безпеки необхідно постійно вдосконалюватись, розширювати набір компетенцій та професійних знань, і прийняті за кордоном стандарти суттєво допомагають у цьому.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

You may also like...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.