Контроль безопасности

Меры защиты системы

Средства контроля безопасности — это защитные меры или контрмеры , позволяющие избегать, обнаруживать, противодействовать или минимизировать риски безопасности для физической собственности, информации, компьютерных систем или других активов. ^[1] В области информационной безопасности такие средства контроля защищают конфиденциальность, целостность и доступность информации .

Системы контроля можно называть фреймворками или стандартами. Фреймворки могут позволить организации управлять контролем безопасности для различных типов активов с согласованностью.

Типы контроля безопасности

Средства контроля безопасности можно классифицировать по различным критериям. Например, средства контроля можно классифицировать по тому, как/когда/где они действуют относительно нарушения безопасности (иногда их называют типами контроля ):

• Профилактический контроль направлен на предотвращение возникновения инцидента, например, путем блокировки доступа несанкционированных злоумышленников;
• Детективные средства контроля предназначены для идентификации, характеристики и регистрации инцидента, например, изоляции подозрительного поведения злоумышленника в сети; ^[2]
• Компенсационные меры контроля смягчают текущий ущерб от активного инцидента, например, отключение системы при обнаружении вредоносного ПО .
• После события корректирующие меры контроля направлены на устранение ущерба, причиненного инцидентом, например, путем максимально эффективного восстановления нормального рабочего состояния организации.

Меры безопасности также можно классифицировать в соответствии с реализацией контроля (иногда их называют категориями контроля ), например:

• Физический контроль — например, ограждения, двери, замки и огнетушители;
• Процедурный или административный контроль — например, процессы реагирования на инциденты , надзор со стороны руководства, осведомленность и обучение по вопросам безопасности;
• Технические или логические средства контроля — например, аутентификация пользователя (вход в систему) и логический контроль доступа , антивирусное программное обеспечение , брандмауэры ;
• Правовые и нормативные меры или меры контроля за соблюдением требований — например, законы , политики и положения о конфиденциальности.

Стандарты информационной безопасности и системы контроля

Многочисленные стандарты информационной безопасности продвигают хорошие практики безопасности и определяют рамки или системы для структурирования анализа и проектирования для управления элементами управления информационной безопасностью. Некоторые из наиболее известных стандартов описаны ниже.

Международная организация по стандартизации

Стандарт ISO/IEC 27001:2022 был выпущен в октябре 2022 года. Все организации, сертифицированные по ISO 27001:2013, обязаны перейти на новую версию стандарта в течение 3 лет (до октября 2025 года).

В версии Стандарта 2022 года указаны 93 элемента управления, разделенные на 4 группы:

• A.5: Организационный контроль
• A.6: Люди контролируют
• A.7: Физический контроль
• A.8: Технологический контроль

Эти элементы управления сгруппированы по эксплуатационным возможностям следующим образом:

• Управление
• Управление активами
• Защита информации
• Безопасность человеческих ресурсов
• Физическая безопасность
• Безопасность системы и сети
• Безопасность приложений
• Безопасная конфигурация
• Управление идентификацией и доступом
• Управление угрозами и уязвимостями
• Непрерывность
• Безопасность взаимоотношений с поставщиками
• Правовые и нормативно-правовые требования
• Управление событиями информационной безопасности; а также
• Информационная_безопасность_гарантия

В предыдущей версии стандарта ISO/IEC 27001 было указано 114 элементов управления в 14 группах:

• A.5: Политики информационной безопасности
• A.6: Как организована информационная безопасность
• A.7: Безопасность кадровых ресурсов — меры контроля, применяемые до, во время или после трудоустройства.
• A.8: Управление активами
• A.9: Контроль доступа и управление доступом пользователей
• A.10: Криптографические технологии
• A.11: Физическая безопасность объектов и оборудования организации
• A.12: Оперативная безопасность
• A.13: Безопасная связь и передача данных
• A.14: Безопасное приобретение, разработка и поддержка информационных систем
• A.15: Безопасность поставщиков и третьих лиц
• A.16: Управление инцидентами
• A.17: Непрерывность бизнеса/аварийное восстановление (в той мере, в которой это влияет на информационную безопасность)
• A.18: Соответствие — внутренним требованиям, таким как политики, и внешним требованиям, таким как законы.

Стандарты информационной безопасности федерального правительства США

Федеральные стандарты обработки информации (FIPS) применяются ко всем правительственным агентствам США. Однако некоторые системы национальной безопасности, находящиеся в ведении Комитета по системам национальной безопасности , управляются вне этих стандартов.

Федеральный стандарт обработки информации 200 (FIPS 200), «Минимальные требования безопасности для федеральной информации и информационных систем», определяет минимальные меры безопасности для федеральных информационных систем и процессы, посредством которых происходит выбор мер безопасности на основе риска. Каталог минимальных мер безопасности находится в Специальной публикации NIST SP 800-53.

FIPS 200 определяет 17 широких семейств контроля:

• Контроль доступа к сети переменного тока
• Осведомленность и обучение AT
• Аудит и подотчетность AU
• Оценка безопасности и авторизация CA (историческое сокращение)
• Управление конфигурацией CM
• Планирование действий в чрезвычайных ситуациях CP
• Идентификация и аутентификация IA
• Реагирование на инциденты IR
• Техническое обслуживание МА
• Защита СМИ депутата
• Физическая и экологическая защита PE
• Планирование ПЛ
• PS Персональная безопасность
• Оценка риска РА
• Приобретение систем и услуг SA
• Защита систем и коммуникаций SC
• Система СИ и целостность информации

Национальный институт стандартов и технологий

Структура кибербезопасности NIST

Структура, основанная на зрелости, разделена на пять функциональных областей и приблизительно на 100 отдельных элементов управления в ее «ядре».

НИСТ SP-800-53

База данных, содержащая около тысячи технических средств контроля, сгруппированных в семейства и перекрестные ссылки.

• Начиная с Revision 3 of 800-53, были определены элементы управления программами. Эти элементы управления независимы от системных элементов управления, но необходимы для эффективной программы безопасности.
• Начиная с 4-й редакции 800-53, было определено восемь групп элементов управления конфиденциальностью, чтобы привести элементы управления безопасностью в соответствие с требованиями федерального законодательства в отношении конфиденциальности.
• Начиная с 5-й редакции 800-53, элементы управления также охватывают вопросы конфиденциальности данных, как определено в Рамках конфиденциальности данных NIST.

Коммерческие комплекты управления

COBIT5

Запатентованный набор элементов управления, опубликованный ISACA. ^[3]

• Управление корпоративными ИТ
  • Оценка, руководство и мониторинг (EDM) – 5 процессов
• Управление корпоративными ИТ
  • Согласование, планирование и организация (APO) – 13 процессов
  • Создание, приобретение и внедрение (BAI) – 10 процессов
  • Доставка, обслуживание и поддержка (DSS) – 6 процессов
  • Мониторинг, оценка и анализ (MEA) - 3 процесса

Контроль СНГ (CIS 18)

Ранее известные как критические элементы управления безопасностью SANS, теперь официально называются критическими элементами управления безопасностью CIS (элементы управления COS). ^[4] Элементы управления CIS делятся на 18 элементов управления.

• CIS Control 1: Инвентаризация и контроль активов предприятия
• CIS Control 2: Инвентаризация и контроль программных активов
• CIS Control 3: Защита данных
• CIS Control 4: Безопасная конфигурация корпоративных активов и программного обеспечения
• CIS Control 5: Управление счетами
• CIS Control 6: Управление контролем доступа
• CIS Control 7: Непрерывное управление уязвимостями
• CIS Control 8: Управление журналом аудита
• CIS Control 9: Защита электронной почты и веб-браузера
• CIS Control 10: Защита от вредоносных программ
• CIS Control 11: Восстановление данных
• CIS Control 12: Управление сетевой инфраструктурой
• CIS Control 13: Мониторинг и защита сети
• CIS Control 14: Обучение навыкам и осведомленности в области безопасности
• CIS Control 15: Управление поставщиками услуг
• CIS Control 16: Безопасность прикладного программного обеспечения
• CIS Control 17: Управление реагированием на инциденты
• CIS Control 18: Тестирование на проникновение

Элементы управления далее делятся на группы внедрения (GI), которые являются рекомендуемым руководством для определения приоритетов внедрения элементов управления CIS. ^[5]

Телекоммуникации

В телекоммуникациях средства контроля безопасности определяются как службы безопасности в рамках модели OSI :

• Рекомендация МСЭ-Т X.800.
• ИСО ИСО 7498-2

Они технически выровнены. ^{[6] [7]} Эта модель широко признана. ^{[8] [9]}

Ответственность за данные (юридическая, нормативная, соответствие)

Пересечение риска безопасности и законов, устанавливающих стандарты ухода, — это то, где определяется ответственность за данные. Появляется несколько баз данных, которые помогают менеджерам по рискам исследовать законы, определяющие ответственность на уровне страны, провинции/штата и на местном уровне. В этих контрольных наборах соблюдение соответствующих законов является фактическим смягчителем риска.

• Таблица уведомлений о нарушениях безопасности Perkins Coie: набор статей (по одной на штат), определяющих требования к уведомлению об утечке данных в разных штатах США. ^[10]
• Законы NCSL об уведомлении о нарушении безопасности: список законов штатов США, определяющих требования к уведомлению об утечке данных. ^[11]
• TS юрисдикция: Коммерческая исследовательская платформа по кибербезопасности, охватывающая более 380 государственных и федеральных законов США, которые влияют на кибербезопасность до и после нарушения. TS юрисдикция также соответствует NIST Cybersecurity Framework. ^[12]

Структуры бизнес-контроля

Существует широкий спектр структур и стандартов, рассматривающих внутренний бизнес и межкорпоративный контроль, в том числе:

• ССАЕ 16
• ИСАЕ 3402
• Стандарт безопасности данных индустрии платежных карт
• Закон о переносимости и подотчетности медицинского страхования
• КОБИТ 4/5
• Топ-20 СНГ
• Структура кибербезопасности NIST

Смотрите также

• Контроль доступа
• Авиационная безопасность
• Контрмера
• Глубокая оборона
• Экологический дизайн
• Информационная безопасность
• Физическая безопасность
• Риск
• Безопасность
• Техника безопасности
• Управление безопасностью
• Службы безопасности
• Модель Гордона-Лёба для инвестиций в кибербезопасность

Ссылки

1. «Что такое средства контроля безопасности?». www.ibm.com . Получено 2020-10-31 .
2. "Детективный контроль". AWS . 12 декабря 2022 г.
3. "COBIT Framework | Риски и управление | Управление корпоративными ИТ - ISACA". cobitonline.isaca.org . Получено 2020-03-18 .
4. "18 элементов управления CIS". CIS . Получено 2022-11-08 .
5. "CIS Critical Security Controls Implementation Groups". CIS . Получено 2022-11-08 .
6. X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
7. ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура безопасности)
8. Уильям Столлингс Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network Security, 4 издание Pearson, 2006 г. 
9. Защита информации и коммуникационных систем: принципы, технологии и приложения Стивен Фернелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 - 362 страницы
10. "Таблица уведомлений о нарушении безопасности". Perkins Coie . Получено 2020-03-18 .
11. "Законы об уведомлении о нарушении безопасности". www.ncsl.org . Получено 18.03.2020 .
12. "ts юрисдикция". Эскиз угрозы . Получено 2020-03-18 .

Внешние ссылки

• NIST SP 800-53, редакция 4
• Инструкция МО 8500.2
• Термины FISMApedia