Хочу познакомить хабрапользователей, касающихся прямо или косвенно вопросов защиты информации, с практически не упоминавшимся на Хабре замечательным методическим ресурсом: “NIST Special Publications 800 Series”.
NIST – National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. О них я и предлагаю поговорить подробнее.
В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:
- управление информационной безопасностью;
- технические вопросы обеспечения информационной безопасности;
- криптографическая защита информации.
На счету каждой из групп десятки публикаций. В связи с тем, что криптография является достаточно специфичной областью, рекомендации в этой сфере, пожалуй, заслуживают отдельной статьи, а ниже я приведу обзор наиболее интересных и популярных документов первых двух групп.
Многие документы регулярно пересматриваются — в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.
Управление информационной безопасностью
Раздел содержит «джентельменский набор», пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого стоит.
| SP 800-50 (2003) |
Создание программы повышения осведомленности в области безопасности ИТ |
| Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры | |
| SP 800-84 (2006) |
Тестирование планов безопасности ИТ |
| Политика, зоны ответственности, методология, примеры документов, частные методики: «настольный» тест, симуляции, тестирование в реальной обстановке | |
| SP 800-100 (2006) |
Коротко об информационной безопасности для руководства |
| Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами | |
| SP 800-60 (2008) |
Классификация информации и информационных систем по требованиям к безопасности методика классификатор |
| Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации | |
| SP 800-115 (2008) |
Технические вопросы оценки уровня ИБ |
| Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации | |
| SP 800-118 (2009) |
Управление паролями |
| Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии. | |
| SP 800-37 (2010) |
Управление рисками ИБ в федеральных информационных системах |
| Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов | |
| SP 800-34 (2010) |
Планирование обеспечения непрерывности в федеральных информационных системах |
| Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов | |
| SP 800-137 (2011) |
Мониторинг ИБ в федеральных информационных системах |
| Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации | |
| SP 800-61 (2012) |
Управление инцидентами в области ИБ |
| Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент | |
| SP 800-40 (2012) |
Управление обновлениями безопасности |
| Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса | |
Технические вопросы обеспечения информационной безопасности
Далее в более кратком формате — наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое «вкусное», соответственно, наверное, в самом низу).
Надеюсь, что в данном разнообразии каждый найдет себе пару-тройку документов для неторопливого прочтения в послепраздничные дни!
Автор: OLS
