Стандарты кибербезопасности - Cybersecurity standards

Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты

Стандарты кибербезопасности (также в стиле стандарты кибербезопасности)[1] - это методы, обычно изложенные в опубликованных материалах, которые пытаются защитить киберсреду пользователя или организации.[2] Эта среда включает самих пользователей, сети, устройства, все программное обеспечение, процессы, информацию, хранящуюся или передаваемую, приложения, службы и системы, которые могут быть прямо или косвенно связаны с сетями.

Основная цель - снизить риски, включая предотвращение или смягчение последствий кибератаки. Эти опубликованные материалы состоят из сборников инструментов, политик, концепций безопасности, мер безопасности, руководств, подходов к управлению рисками, действий, обучения, передовых методов, гарантий и технологий.

История

Информационная безопасность Стандарты существовали в течение нескольких десятилетий, поскольку пользователи и провайдеры сотрудничали на многих внутренних и международных форумах для реализации необходимых возможностей, политик и практик, которые, как правило, появились в результате работы Стэнфордского консорциума по исследованиям в области информационной безопасности и политики в 1990-х годах.[3]

Исследование внедрения системы безопасности в США в 2016 г. показало, что 70% опрошенных организаций Структура кибербезопасности NIST как наиболее популярный передовой метод компьютерной безопасности информационных технологий (ИТ), но многие отмечают, что он требует значительных инвестиций.[4] Трансграничные операции правоохранительных органов по кибер-эксфильтрации, направленные на противодействие международной преступной деятельности в темной сети, поднимают сложные юрисдикционные вопросы, которые до некоторой степени остаются без ответа.[5][6] Напряженность между усилиями внутренних правоохранительных органов по проведению трансграничных операций по киберэкфильтрации и международной юрисдикцией, вероятно, продолжит обеспечивать более совершенные нормы кибербезопасности.[5][7]

Стандарты

В подразделах ниже подробно описаны наиболее часто используемые стандарты.

ISO / IEC 27001 и 27002

Основная статья: ISO / IEC 27001

ISO / IEC 27001, часть растущего Семейство стандартов ISO / IEC 27000, является система управления информационной безопасностью (ISMS), последняя редакция которого была опубликована в октябре 2013 г. Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (IEC). Его полное название ISO / IEC 27001: 2013 - Информационные технологии - Методы безопасности - Системы менеджмента информационной безопасности - Требования.

ИСО / МЭК 27001 формально определяет систему менеджмента, которая предназначена для установления четкого управленческого контроля над информационной безопасностью.

ISO / IEC 27002 включает в себя в основном часть 1 BS 7799 стандарт надлежащей практики управления безопасностью. Последняя версия BS 7799 - это BS 7799-3. Иногда ISO / IEC 27002 поэтому упоминается как ISO 17799 или BS 7799, часть 1, а иногда и как часть 1 и часть 7. BS 7799, часть 1, представляет собой схему или руководство по передовой практике для управления кибербезопасностью; тогда как BS 7799 часть 2 и ISO / IEC 27001 являются нормативными и, следовательно, обеспечивают основу для сертификации. ISO / IEC 27002 - это руководство по кибербезопасности высокого уровня. Это наиболее полезно в качестве пояснительного руководства для руководства организации при получении сертификации по стандарту ISO / IEC 27001. Срок действия полученного сертификата составляет три года. В зависимости от аудиторской организации в течение трех лет может не проводиться какой-либо промежуточный аудит.

ISO / IEC 27001 (ISMS) заменяет BS 7799, часть 2, но поскольку он обратно совместим, любая организация, работающая над BS 7799, часть 2, может легко перейти на процесс сертификации ISO / IEC 27001. Также доступен переходный аудит, чтобы упростить процедуру сертификации организации по стандарту BS 7799, часть 2, по стандарту ISO / IEC 27001. ISO / IEC 27002 предоставляет рекомендации по передовому опыту управления информационной безопасностью для использования лицами, ответственными за запуск, внедрение или поддержание системы менеджмента информационной безопасности (СМИБ). В нем указаны системы информационной безопасности, необходимые для реализации целей управления ISO / IEC 27002. Без ISO / IEC 27001 цели управления ISO / IEC 27002 неэффективны. Цели управления ISO / IEC 27002 включены в ISO 27001 в Приложении A.

ISO / IEC 21827 (SSE-CMM - ISO / IEC 21827) - это международный стандарт, основанный на модели зрелости возможностей проектирования систем безопасности (SSE-CMM), который может измерять зрелость целей средств управления ISO.

НКРЭ

Первоначальная попытка создания стандартов информационной безопасности для электроэнергетической отрасли была предпринята NERC в 2003 году и была известна как NERC CSS (стандарты кибербезопасности).[8] Следуя рекомендациям CSS, NERC разработала и усовершенствовала эти требования. Наиболее широко признанным современным стандартом безопасности NERC является NERC 1300, который является модификацией / обновлением NERC 1200. Новейшая версия NERC 1300 называется от CIP-002-3 до CIP-009-3 (CIP = Critical Infrastructure Protection). Эти стандарты используются для защиты крупных электрических систем, хотя NERC разработала стандарты в других областях. Стандартные стандарты электрических систем также обеспечивают администрирование сетевой безопасности, при этом поддерживая передовые отраслевые процессы.[2]

NIST

Основная статья: Национальный институт стандартов и технологий
  1. В Структура кибербезопасности NIST (NIST CSF) «предоставляет высокоуровневую таксономию результатов кибербезопасности и методологию для оценки и управления этими результатами». Он предназначен для помощи организациям частного сектора, которые предоставляют критическая инфраструктура с инструкциями о том, как его защитить, а также соответствующими средствами защиты Конфиденциальность и гражданские свободы.[9]
  2. Специальная публикация 800-12 предоставляет широкий обзор областей компьютерной безопасности и контроля. Он также подчеркивает важность мер безопасности и способов их реализации. Первоначально этот документ был нацелен на федеральное правительство, хотя большинство практик, изложенных в этом документе, можно применить и к частному сектору. Специально он был написан для тех людей в федеральном правительстве, которые отвечают за работу с чувствительными системами. [3]
  3. В специальной публикации 800-14 описаны используемые общие принципы безопасности. Он обеспечивает высокоуровневое описание того, что должно быть включено в политику компьютерной безопасности. В нем описывается, что можно сделать для улучшения существующей безопасности, а также как разработать новую практику безопасности. В этом документе описаны восемь принципов и четырнадцать практик. [4]
  4. В специальной публикации 800-26 даются советы по управлению ИТ-безопасностью. Заменено NIST SP 800-53 rev3. В этом документе подчеркивается важность самооценки, а также оценки рисков. [5]
  5. Специальная публикация 800-37, обновленная в 2010 году, предлагает новый подход к рискам: «Руководство по применению концепции управления рисками в федеральных информационных системах».
  6. Специальная публикация 800-53 rev4 «Меры безопасности и конфиденциальности для федеральных информационных систем и организаций», опубликованная в апреле 2013 г., обновленная и включающая обновления по состоянию на 15 января 2014 г., конкретно касается 194 мер безопасности, которые применяются к системе для ее создания » более безопасный".
  7. Специальная публикация 800-63-3 «Рекомендации по цифровой идентификации», опубликованная в июне 2017 г. и обновленная с учетом обновлений по состоянию на 1 декабря 2017 г., содержит рекомендации по внедрению служб цифровой идентификации, включая проверку личности, регистрацию и аутентификацию пользователей. [6]
  8. Специальная публикация 800-82, редакция 2, «Руководство по безопасности промышленных систем управления (ICS)», отредактированная в мае 2015 года, описывает, как защитить несколько типов промышленных систем управления от кибератак с учетом требований к производительности, надежности и безопасности, специфичных для ICS. . [7]

ISO 15408

Основная статья: Общие критерии

Этот стандарт развивает то, что называется «Общие критерии ». Он позволяет безопасно интегрировать и тестировать множество различных программных и аппаратных продуктов.

IEC 62443

Основная статья: IEC 62443

Стандарты кибербезопасности IEC-62443 - это многоотраслевые стандарты, в которых перечислены методы и методы защиты кибербезопасности. Эти документы являются результатом процесса создания стандартов МЭК, в ходе которого предложения ANSI / ISA-62443 и другие материалы передаются в национальные комитеты, где проводится анализ и представляются комментарии относительно изменений. Комментарии рассматриваются различными комитетами IEC 62443, где обсуждаются комментарии и вносятся изменения по согласованию.

Нумерация и организация рабочих продуктов МЭК 62443 по категориям.
Запланированы и опубликованы рабочие продукты IEC 62443 для безопасности IACS.

Все стандарты и технические отчеты IEC 62443 разделены на четыре общие категории, называемые Общий, Политики и процедуры, Система и Компонент.[10]

  1. Первая (верхняя) категория включает основную информацию, такую ​​как концепции, модели и терминология.
  2. Вторая категория рабочих продуктов нацелена на Владельца активов. В них рассматриваются различные аспекты создания и поддержания эффективной программы безопасности IACS.
  3. Третья категория включает рабочие продукты, которые описывают руководство по проектированию системы и требования для безопасной интеграции систем управления. Ядром здесь является расчетная модель зоны и канала.
  4. Четвертая категория включает рабочие продукты, которые описывают разработку конкретного продукта и технические требования к продуктам системы управления.

ANSI / ISA 62443 (ранее ISA-99)

ANSI / ISA 62443 - это серия стандартов, технических отчетов и связанной информации, которые определяют процедуры для внедрения безопасных систем промышленной автоматизации и управления (IACS).

Первоначально эти документы назывались ANSI / ISA-99 или же ISA99 стандарты, поскольку они были созданы Международное общество автоматизации (ISA) и публично выпущен как Американский национальный институт стандартов (ANSI) документы. В 2010 году они были переименованы в ANSI / ISA-62443 серии.

ISA99 остается названием Комитета по безопасности промышленных систем автоматизации и управления ISA. С 2002 года комитет разрабатывает серию стандартов и технических отчетов, состоящих из нескольких частей, по теме безопасности IACS. Эти рабочие продукты затем отправляются на утверждение ISA и затем публикуются в соответствии с ANSI. Они также передаются в МЭК в качестве исходных данных для серии международных стандартов МЭК 62443 после процесса разработки стандартов МЭК.

Смотрите также

Примечания

  1. ^ «Рекомендации по кибербезопасности интеллектуальных сетей». Национальный институт стандартов и технологий. 2010-08-01. Получено 2014-03-30.
  2. ^ http://www.itu.int/ITU-T/recommendations/rec.aspx?rec=9136
  3. ^ http://fsi.stanford.edu/research/consortium_for_research_on_information_security_and_policy
  4. ^ «Принятие концепции кибербезопасности NIST затруднено из-за затрат, результаты опроса». Получено 2016-08-02.
  5. ^ а б Гаппур, Ахмед (01.01.2017). «Таллинн, взлом и международное обычное право». АДЖИЛ освобожден. 111: 224–228. Дои:10.1017 / aju.2017.59.
  6. ^ Гаппур, Ахмед (2017-04-01). «Поиск мест неизвестен: правоохранительные органы в даркнете». Stanford Law Review. 69 (4): 1075.
  7. ^ Гаппур, Ахмед (2017). «Поиск мест неизвестен: правоохранительные органы в даркнете». Stanford Law Review. 69 (4).
  8. ^ Symantec Control Compliance Suite - правила NERC и FERC В архиве 2016-10-22 на Wayback Machine ПОДРАЗДЕЛ: История стандартов NERC
  9. ^ «Структура кибербезопасности NIST». Получено 2016-08-02.
  10. ^ Более подробная информация о деятельности и планах комитета ISA99 доступна на вики-сайте комитета ([1] )

Рекомендации

  1. ^ Министерство внутренней безопасности, Сравнение стандартов кибербезопасности, разработанных нефтегазовым сегментом. (5 ноября 2004 г.)
  2. ^ Гутман, М., Суонсон, М., Национальный институт стандартов и технологий; Управление технологиями; Министерство торговли США., Общепринятые принципы и методы защиты систем информационных технологий (800-14). (Сентябрь 1996 г.)
  3. ^ Национальный институт стандартов и технологий; Управление технологиями; Министерство торговли США., Введение в компьютерную безопасность: Справочник NIST, специальная публикация 800-12.
  4. ^ Свонсон, М., Национальный институт стандартов и технологий; Управление технологиями; Министерство торговли США., Руководство по самооценке безопасности систем информационных технологий (800-26).
  5. ^ Grassi, P .; Гарсия, М .; Фентон, Дж., Национальный институт стандартов и технологий; Министерство торговли США, Руководство по цифровой идентификации (800-63-3).
  6. ^ Stouffer, K .; Pillitteri, V .; Лайтман, С .; Abrams, M .; Hahn, A .; Национальный институт стандартов и технологий; Министерство торговли США., Руководство по безопасности промышленных систем управления (ICS) (800-82).
  7. ^ Североамериканский совет по надежности электроснабжения (NERC). http://www.nerc.com. Проверено 12 ноября 2005 года.
  8. ^ Федеральный экзаменационный совет финансовых учреждений (FFIEC). https://www.ffiec.gov. Проверено 18 апреля 2018 года.

внешняя ссылка