Стандарты информационной безопасности

Технологические стандарты и методы

Стандарты информационной безопасности (также стандарты кибербезопасности ^[1] ) — это методы, обычно изложенные в опубликованных материалах, которые пытаются защитить киберсреду пользователя или организации. ^[2] Эта среда включает в себя самих пользователей, сети, устройства, все программное обеспечение, процессы, информацию в хранилище или при передаче, приложения, службы и системы, которые могут быть напрямую или косвенно подключены к сетям.

Основная цель — снизить риски, включая предотвращение или смягчение кибератак . Эти опубликованные материалы включают инструменты, политики, концепции безопасности, меры безопасности, руководства, подходы к управлению рисками, действия, обучение, передовой опыт, гарантии и технологии.

История

Стандарты кибербезопасности существуют уже несколько десятилетий, поскольку пользователи и поставщики сотрудничают на многих внутренних и международных форумах для внедрения необходимых возможностей, политик и практик, которые, как правило, являются результатом работы Стэнфордского консорциума по исследованиям в области информационной безопасности и политики в 1990-х годах. ^[3]

Исследование по внедрению фреймворков безопасности в США, проведенное в 2016 году, показало, что 70% опрошенных организаций используют фреймворк кибербезопасности NIST как наиболее популярную передовую практику для компьютерной безопасности информационных технологий (ИТ), но многие отмечают, что он требует значительных инвестиций. ^[4] Трансграничные операции по киберэксфильтрации, проводимые правоохранительными органами для противодействия международной преступной деятельности в даркнете, поднимают сложные юрисдикционные вопросы, которые в некоторой степени остаются без ответа. ^{[5] [6]} Напряженность между усилиями внутренних правоохранительных органов по проведению трансграничных операций по киберэксфильтрации и международной юрисдикцией, вероятно, продолжит обеспечивать улучшенные нормы кибербезопасности. ^{[5] [7]}

Международные стандарты

В подразделах ниже подробно описаны международные стандарты, касающиеся кибербезопасности.

ИСО/МЭК 27001 и 27002

ISO/IEC 27001, часть растущего семейства стандартов ISO/IEC 27000 , является стандартом систем управления информационной безопасностью (СУИБ), последняя редакция которого была опубликована в октябре 2022 года Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC). Его полное название — ISO/IEC 27001:2022 — Информационная безопасность, кибербезопасность и защита конфиденциальности — Системы управления информационной безопасностью — Требования .

Стандарт ISO/IEC 27001 был принят CEN и CENELEC аналогично стандарту EN ISO/IEC 27001. ^[8]

Стандарт ISO/IEC 27001 формально определяет систему управления, обеспечивающую четкий контроль за информационной безопасностью.

ISO/IEC 27002 включает часть 1 стандарта надлежащей практики управления безопасностью BS 7799. Последняя версия BS 7799 — BS 7799-3. Иногда ISO/IEC 27002 называют ISO 17799 или BS 7799 часть 1, а иногда ссылаются на часть 1 и часть 7. BS 7799 часть 1 предоставляет схему или руководство по надлежащей практике управления кибербезопасностью, тогда как BS 7799 часть 2 и ISO/IEC 27001 являются нормативными и обеспечивают основу для сертификации. ISO/IEC 27002 — это руководство высокого уровня по кибербезопасности. Он наиболее полезен в качестве пояснительного руководства для руководства организации для получения сертификации по стандарту ISO/IEC 27001. Сертификация после получения действует три года. В течение трех лет может не проводиться ни одного или проводиться несколько промежуточных аудитов в зависимости от аудиторской организации.

ISO/IEC 27001 (ISMS) заменяет BS 7799 часть 2, но поскольку он обратно совместим, любая организация, работающая над BS 7799 часть 2, может легко перейти на процесс сертификации ISO/IEC 27001. Также доступен переходный аудит, чтобы облегчить процесс сертификации организации по BS 7799 часть 2 для получения сертификата ISO/IEC 27001. ISO/IEC 27002 предоставляет рекомендации по передовой практике управления информационной безопасностью для лиц, ответственных за инициирование, внедрение или поддержание систем управления информационной безопасностью (ISMS). В нем указаны системы информационной безопасности, необходимые для внедрения целей управления ISO/IEC 27002. Без ISO/IEC 27001 цели управления ISO/IEC 27002 неэффективны. В Приложении A цели управления ISO/IEC 27002 включены в ISO 27001.

ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) – это международный стандарт, основанный на модели зрелости возможностей проектирования системной безопасности (SSE-CMM), которая позволяет оценить зрелость целей контроля ISO.

ИСО/МЭК 15408

Этот стандарт разрабатывает так называемые « общие критерии ». Он позволяет безопасно интегрировать и тестировать множество различных программных и аппаратных продуктов.

МЭК/ИСА 62443

Стандарты кибербезопасности IEC/ISA 62443 определяют процессы, методы и требования для промышленных систем автоматизации и управления (IACS). Документы этой серии разрабатываются в рамках сотрудничества между комитетом ISA99 и IEC TC65 WG10, применяя процесс создания стандартов IEC, в котором все вовлеченные национальные комитеты согласовывают общий стандарт.

Все стандарты и технические отчеты IEC 62443 разделены на четыре основные категории: Общие положения , Политики и процедуры , Система и Компонент .

1. Первая категория включает в себя основополагающую информацию, такую ​​как концепции, модели и терминология.
2. Вторая категория рабочих продуктов нацелена на владельца активов. Они охватывают различные аспекты создания и поддержания эффективной программы безопасности IACS.
3. Третья категория включает рабочие продукты, описывающие принципы проектирования систем и требования к безопасной интеграции систем управления. Ядром этого являются зона, канал и модель проектирования.
4. Четвертая категория включает рабочие продукты, описывающие конкретную разработку продукта и технические требования к продуктам систем управления.

ИСО/SAE 21434

ISO/SAE 21434 «Дорожные транспортные средства — проектирование кибербезопасности» — это стандарт кибербезопасности, совместно разработанный рабочими группами ISO и SAE . Он предлагает меры кибербезопасности для жизненного цикла разработки дорожных транспортных средств. Стандарт был опубликован в августе 2021 года. ^[9]

Стандарт связан с регламентом Европейского союза (ЕС) по кибербезопасности, который в настоящее время разрабатывается. В координации с ЕС ЕЭК ООН создает обязательную сертификацию «Системы управления кибербезопасностью» (CSMS) для одобрения типа транспортного средства . ISO/SAE 21434 — это технический стандарт для разработки автомобилей, который может продемонстрировать соответствие этим регламентам.

Производным от этого является работа WP29 ЕЭК ООН , которая устанавливает правила кибербезопасности транспортных средств и обновления программного обеспечения. ^[10]

ETSI EN 303 645

Стандарт ETSI EN 303 645 содержит набор базовых требований к безопасности потребительских устройств Интернета вещей (IoT) . Он содержит технические элементы управления и организационные политики для разработчиков и производителей потребительских устройств, подключенных к Интернету. Стандарт был выпущен в июне 2020 года ^[11] и призван дополнить другие, более конкретные стандарты. Поскольку многие потребительские устройства IoT обрабатывают персонально идентифицируемую информацию (PII) , внедрение стандарта помогает соблюдать Общий регламент ЕС по защите данных (GDPR) в ЕС. ^[12]

Положения по кибербезопасности в этом европейском стандарте следующие:

1. Нет универсальных паролей по умолчанию
2. Внедрить средства управления отчетами об уязвимостях
3. Обновляйте программное обеспечение
4. Надежное хранение конфиденциальных параметров безопасности
5. Общайтесь безопасно
6. Минимизируйте открытые поверхности атаки
7. Обеспечить целостность программного обеспечения
8. Обеспечьте безопасность персональных данных
9. Сделайте системы устойчивыми к сбоям
10. Изучение данных телеметрии системы
11. Сделайте так, чтобы пользователям было легко удалять пользовательские данные
12. Упростите установку и обслуживание устройств
13. Проверить входные данные

Оценка соответствия этим базовым требованиям осуществляется с помощью стандарта TS 103 701, который допускает самосертификацию или сертификацию другой группой. ^[13]

Национальные стандарты

В подразделах ниже подробно описаны национальные стандарты и структуры, связанные с кибербезопасностью.

НКРЭ

Первоначальная попытка создания стандартов информационной безопасности для электроэнергетической отрасли была предпринята NERC в 2003 году и была известна как NERC CSS (Cyber ​​Security Standards). ^[14] После руководящих принципов CSS NERC развил и улучшил эти требования. Наиболее широко признанным современным стандартом безопасности NERC является NERC 1300, модификация/обновление NERC 1200. Новейшая версия NERC 1300 называется CIP-002-3 по CIP-009-3 (CIP=Critical Infrastructure Protection). Эти стандарты защищают массовые электрические системы, хотя NERC создал стандарты и в других областях. Массовые стандарты электрических систем также обеспечивают администрирование сетевой безопасности, поддерживая передовые отраслевые процессы. ^[1]

НИСТ

1. NIST Cybersecurity Framework (NIST CSF) «предоставляет высокоуровневую таксономию результатов кибербезопасности и методологию оценки и управления этими результатами». Она предназначена для того, чтобы помочь организациям частного сектора, которые предоставляют критически важную инфраструктуру , с руководством по ее защите, а также с соответствующей защитой конфиденциальности и гражданских свобод . ^[15]
2. Специальная публикация 800-12 дает широкий обзор областей компьютерной безопасности и контроля. В ней также подчеркивается важность контроля безопасности и способов его внедрения. Первоначально этот документ был нацелен на федеральное правительство, хотя большинство практик в этом документе могут быть применены и в частном секторе. В частности, он был написан для тех в федеральном правительстве, кто отвечает за обработку конфиденциальных систем. ^[2]
3. Специальная публикация 800-14 описывает общие принципы безопасности, которые используются. Она дает общее описание того, что должно быть включено в политику компьютерной безопасности. Она описывает, что можно сделать для улучшения существующей безопасности и как разработать новую практику безопасности. В этом документе описаны восемь принципов и четырнадцать практик. ^[3]
4. Специальная публикация 800-26 содержит рекомендации по управлению безопасностью ИТ, замененные NIST SP 800-53 rev3. В этом документе подчеркивается важность самооценки, а также оценки рисков. ^[4]
5. Специальная публикация 800-37, обновленная в 2010 году, предлагает новый подход к управлению рисками: «Руководство по применению структуры управления рисками в федеральных информационных системах».
6. В специальной публикации 800-53 rev4 «Методы контроля безопасности и конфиденциальности для федеральных информационных систем и организаций», опубликованной в апреле 2013 года и обновленной с учетом обновлений по состоянию на 15 января 2014 года, подробно рассматриваются 194 элемента контроля безопасности, которые применяются к системе, чтобы сделать ее «более безопасной».
7. Специальная публикация 800-63-3, «Руководство по цифровой идентификации», опубликованная в июне 2017 г., обновленная с учетом обновлений по состоянию на 1 декабря 2017 г., содержит рекомендации по внедрению услуг цифровой идентификации, включая проверку личности, регистрацию и аутентификацию пользователей. ^[5]
8. Специальная публикация 800-82, редакция 2, «Руководство по безопасности промышленных систем управления (ICS)», пересмотренная в мае 2015 г., описывает, как защитить различные типы промышленных систем управления от кибератак, учитывая при этом требования к производительности, надежности и безопасности, характерные для ICS. ^[6]

ФИПС 140

Федеральные стандарты обработки информации серии 140 ( FIPS ) — это стандарты компьютерной безопасности правительства США , которые определяют требования к криптографическим модулям. FIPS 140-2 и FIPS 140-3 приняты как текущие и активные.

Основы кибербезопасности NCSC

Cyber ​​Essentials — это правительственная схема обеспечения безопасности информации Великобритании , которой управляет Национальный центр кибербезопасности (NCSC) . Она поощряет организации внедрять передовые методы обеспечения безопасности информации. Cyber ​​Essentials также включает в себя структуру обеспечения безопасности и простой набор средств управления безопасностью для защиты информации от угроз, исходящих из Интернета.

Основная восьмерка

Австралийский центр кибербезопасности разработал приоритетные стратегии смягчения в форме Стратегий смягчения инцидентов кибербезопасности, чтобы помочь организациям защитить себя от различных киберугроз. Наиболее эффективная из этих стратегий смягчения называется Essential Eight. ^[16]

BSI IT-Grundschutz

Стандарты Федерального ведомства по информационной безопасности ( нем . Bundesamt für Sicherheit in der Informationstechnik , сокращенно BSI) являются элементарной составляющей методологии базовой защиты ИТ ( нем . IT-Grundschutz ). Они содержат рекомендации по методам, процессам и процедурам, подходам и мерам для различных аспектов информационной безопасности. Пользователи из государственных органов, компаний, производителей или поставщиков услуг могут использовать стандарты BSI, чтобы сделать свои бизнес-процессы и данные более безопасными. ^[17]

• Стандарт BSI 100-4 охватывает управление непрерывностью бизнеса (BCM) .
• Стандарт BSI 200-1 определяет общие требования к системе управления информационной безопасностью (СУИБ). Он совместим с ISO 27001 и учитывает рекомендации других стандартов ISO, таких как ISO 27002.
• Стандарт BSI 200-2 формирует основу методологии BSI по созданию надежной системы управления информационной безопасностью (ISMS). Он устанавливает три процедуры для внедрения базовой защиты ИТ.
• Стандарт BSI 200-3 объединяет все шаги, связанные с рисками, при реализации базовой защиты ИТ.

Отраслевые стандарты

В подразделах ниже подробно описаны стандарты и структуры кибербезопасности, относящиеся к конкретным отраслям.

PCI DSS

Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это стандарт информационной безопасности для организаций, которые обрабатывают брендированные кредитные карты из основных карточных схем. Стандарт PCI предписан брендами карт, но администрируется Советом по стандартам безопасности индустрии платежных карт. Стандарт был создан для усиления контроля над данными держателей карт с целью снижения мошенничества с кредитными картами.

УЛ 2900

UL 2900 — это серия стандартов, опубликованных UL . Стандарты включают общие требования к кибербезопасности (UL 2900-1), а также специальные требования к медицинской продукции (UL 2900-2-1), промышленным системам (UL 2900-2-2) и системам сигнализации безопасности и жизнеобеспечения (UL 2900-2-3).

UL 2900 требует от производителей описывать и документировать поверхность атаки технологий, используемых в их продуктах. Он требует моделирования угроз на основе предполагаемого использования и среды развертывания. Стандарт требует эффективных мер безопасности, которые защищают конфиденциальные (персональные) данные и другие активы, такие как данные управления и контроля. Он также требует, чтобы уязвимости безопасности в программном обеспечении были устранены, принципы безопасности, такие как глубокая защита, соблюдались, а безопасность программного обеспечения была проверена посредством тестирования на проникновение.

Организации, разрабатывающие стандарты

Международная организация по стандартизации (ИСО) — международная организация по стандартизации, организованная как консорциум национальных институтов по стандартизации из 167 стран, координируемых через секретариат в Женеве, Швейцария. ИСО — крупнейший в мире разработчик международных стандартов. Международная электротехническая комиссия (МЭК) — международная организация по стандартизации, которая занимается электротехнологиями и тесно сотрудничает с ИСО. ISO/IEC 15443: «Информационные технологии — Методы безопасности — Основы обеспечения безопасности ИТ», ISO/IEC 27002 : «Информационные технологии — Методы безопасности — Свод правил управления информационной безопасностью», ISO/IEC 20000 : «Информационные технологии — Управление услугами» и ISO/IEC 27001 : «Информационные технологии — Методы безопасности — Системы управления информационной безопасностью — Требования» представляют особый интерес для специалистов по информационной безопасности.

Национальный институт стандартов и технологий США (NIST) — нерегулируемое федеральное агентство в составе Министерства торговли США . Отдел компьютерной безопасности NIST разрабатывает стандарты, метрики, тесты и программы проверки, а также публикует стандарты и руководства для повышения уровня безопасного планирования, внедрения, управления и эксплуатации ИТ. NIST также является хранителем публикаций Федерального стандарта обработки информации США (FIPS).

Internet Society — это профессиональное членское общество, включающее более 100 организаций и более 20 000 индивидуальных членов в более чем 180 странах. Оно обеспечивает руководство в решении проблем, которые противостоят будущему Интернета, и является организационным домом для групп, отвечающих за стандарты инфраструктуры Интернета, включая Internet Engineering Task Force (IETF) и Internet Architecture Board (IAB). ISOC размещает запросы на комментарии (RFC), включая официальные стандарты протоколов Интернета и RFC-2196 Site Security Handbook .

Институт специалистов по информационной безопасности (IISP) — это независимая некоммерческая организация, управляемая ее членами, главной целью которой является повышение профессионализма специалистов по информационной безопасности и, таким образом, профессионализма отрасли. Институт разработал структуру навыков IISP. Эта структура описывает спектр компетенций, которые специалисты по информационной безопасности и обеспечению информационной безопасности ожидают для эффективного выполнения своих ролей. Она была разработана в результате сотрудничества между организациями частного и государственного секторов, всемирно известными учеными и лидерами в области безопасности. ^[18]

Федеральное ведомство по информационной безопасности Германии ( Bundesamt für Sicherheit in der Informationstechnik (BSI) ) BSI-Standards 100–1 to 100-4 представляет собой набор рекомендаций, включающий «методы, процессы, процедуры, подходы и меры, касающиеся информационной безопасности». ^[19] BSI-Standard 100-2 IT-Grundschutz Methodology описывает, как можно реализовать и эксплуатировать управление информационной безопасностью. Стандарт включает в себя специальное руководство, IT Baseline Protection Catalogs (IT-Grundschutz Catalogs). До 2005 года каталоги были известны как « IT Baseline Protection Manual». Каталоги представляют собой документы, полезные для обнаружения и борьбы с уязвимыми местами, связанными с безопасностью, в ИТ-среде (IT-кластере). По состоянию на сентябрь 2013 года сборник охватывает более 4400 страниц с введением и каталогами. Подход IT-Grundschutz соответствует стандартам серии ISO/IEC 2700x.

Европейский институт стандартов в области телекоммуникаций стандартизировал каталог показателей информационной безопасности , возглавляемый Группой промышленных спецификаций (ISG) ISI.

Смотрите также

• Главный специалист по информационной безопасности
• Компьютерная безопасность
• Безопасность системы управления
• Информационная безопасность
• Информационное обеспечение
• Модель Гордона-Лёба для инвестиций в кибербезопасность

Примечания

1. "Guidelines for Smart Grid Cyber ​​Security" (PDF) . Национальный институт стандартов и технологий . Сентябрь 2014 г. doi :10.6028/NIST.IR.7628r1 . Получено 28 ноября 2023 г. .
2. "База данных рекомендаций МСЭ-Т".
3. "FSI - Консорциум по исследованиям в области информационной безопасности и политики".
4. "Принятие фреймворка кибербезопасности NIST затруднено из-за затрат, согласно результатам опроса". 30 марта 2016 г. Получено 2016-08-02 .
5. Ghappour, Ahmed (01.01.2017). «Таллин, хакерство и международное обычное право». AJIL Unbound . 111 : 224–228. doi : 10.1017/aju.2017.59 .
6. Гаппур, Ахмед (2017-04-01). «Поиск неизвестных мест: юрисдикция правоохранительных органов в темной паутине». Stanford Law Review . 69 (4): 1075.
7. Гаппур, Ахмед (2017). «Поиск неизвестных мест: юрисдикция правоохранительных органов в темной паутине». Stanford Law Review . 69 (4).
8. "Стандарты информационной безопасности". Genorma.com . Стандарты Genorma, CEN и CENELEC.
9. ISO/SAE 21434:2021 Дорожный транспорт — Кибербезопасность.
10. «Правила ООН по кибербезопасности и обновлениям программного обеспечения, которые откроют путь к массовому внедрению подключенных транспортных средств | ЕЭК ООН». unece.org .
11. Объявление ETSI
12. ETSI EN 303 645 V2.1.0
13. "ETSI TS 103 701 Кибербезопасность для потребительского Интернета вещей: оценка соответствия базовым требованиям" (PDF) . ETSI .
14. Symantec Control Compliance Suite – NERC и Регламент FERC Архивировано 22 октября 2016 г. в подразделе Wayback Machine : История стандартов NERC
15. "NIST Cybersecurity Framework". NIST . 12 ноября 2013 г. Получено 2016-08-02 .
16. "Essential Eight Maturity Model". Австралийский центр кибербезопасности . Получено 29 сентября 2022 г. Текст скопирован из этого источника, который доступен по лицензии Creative Commons Attribution 4.0 International.
17. "BSI - IT-Grundschutz". BSI (на немецком языке). Архивировано из оригинала 2013-09-30 . Получено 2021-03-26 .
18. "IISP Skills Framework". Архивировано из оригинала 2014-03-15 . Получено 2014-04-27 .
19. "BSI-Standards". BSI. Архивировано из оригинала 3 декабря 2013 года . Получено 29 ноября 2013 года .

Ссылки

1. ↑ Министерство внутренней безопасности, Сравнение стандартов кибербезопасности, разработанных в нефтегазовом сегменте. (5 ноября 2004 г.)
2. ^ Гуттман, М., Свонсон, М., Национальный институт стандартов и технологий; Управление по технологиям; Министерство торговли США., Общепринятые принципы и практика обеспечения безопасности систем информационных технологий (800–14). (Сентябрь 1996 г.)
3. ^ Национальный институт стандартов и технологий; Управление по технологиям; Министерство торговли США., Введение в компьютерную безопасность: Справочник NIST, Специальная публикация 800-12.
4. ^ Свонсон, М., Национальный институт стандартов и технологий; Управление по технологиям; Министерство торговли США., Руководство по самооценке безопасности систем информационных технологий (800–26).
5. ^ Грасси, П.; Гарсия, М.; Фентон, Дж.; Национальный институт стандартов и технологий; Министерство торговли США., Руководство по цифровой идентификации (800-63-3).
6. ^ Стоуффер, К.; Пиллиттери, В.; Лайтман, С.; Абрамс, М.; Хан, А.; Национальный институт стандартов и технологий; Министерство торговли США., Руководство по безопасности промышленных систем управления (ICS) (800–82).
7. ^ Североамериканский совет по надежности электроснабжения (NERC). http://www.nerc.com. Получено 12 ноября 2005 г.
8. ^ Федеральный совет по проверке финансовых учреждений (FFIEC). https://www.ffiec.gov. Получено 18 апреля 2018 г.

Внешние ссылки

• Кибербезопасность IEC
• ISO 27001 Информационная безопасность
• Стандарты NERC CIP
• Презентация профессора Уильяма Сандерса, Иллинойсский университет
• Конференция по глобальной политике кибербезопасности
• 10-минутное руководство по структуре кибербезопасности NIST Архивировано 14.04.2021 на Wayback Machine
• Веб-сайт Федерального совета по проверке финансовых учреждений (FFIEC)
• Критические элементы управления безопасностью CIS
• Общие критерии NCSC Великобритании
• Проблемы ISO/SAE 21434 в полевых условиях
• Будущее мирового рынка киберстрахования