Показатели информационной безопасности - Information security indicators
В информационные технологии, сравнительный анализ компьютерная безопасность требует измерений для сравнения как разных ИТ-систем, так и отдельных ИТ-систем в определенных ситуациях. Технический подход - это заранее определенный каталог событий безопасности (инциденты безопасности и уязвимость ) вместе с соответствующей формулой для расчета показателей безопасности, которые являются общепринятыми и исчерпывающими.
Показатели информационной безопасности были стандартизированы ETSI Группа промышленных спецификаций (ISG) ISI. Эти индикаторы обеспечивают основу для перехода от качественной культуры к количественной в ИТ-безопасности. Объем измерений: внешние и внутренние угрозы (попытки и успех), отклоняющееся поведение пользователя, несоответствия и / или уязвимости (программное обеспечение, конфигурация, поведение, общая структура безопасности. ). В 2019 году ISG ISI прекращено, а соответствующие стандарты будут поддерживаться через ETSI TC CYBER.
Список индикаторов информационной безопасности принадлежит структуре ISI, которая состоит из следующих восьми тесно связанных рабочих элементов:
- Индикаторы ISI (ISI-001-1[1] и руководство ISI-001-2[2]): Мощный способ оценки уровня применения и эффективности мер безопасности (+ сравнительный анализ)
- Модель событий ISI (ISI-002[3]): Комплексная модель классификации событий безопасности (таксономия + представление)
- Зрелость ISI (ISI-003[4]): Необходимо для оценки уровня зрелости в целом SIEM возможности (технология / люди / процесс) и взвешивать результаты обнаружения событий. Методология, дополненная ISI-005 (более подробный и индивидуальный подход)
- Руководство ISI по реализации обнаружения событий (ISI-004[5]): Продемонстрируйте на примерах, как создавать индикаторы и как обнаруживать связанные события с помощью различных средств и методов (с классификацией вариантов использования / симптомов).
- Стимуляция событий ISI (ISI-005[6]): Предложите способ создания событий безопасности и проверки эффективности существующих средств обнаружения (для основных типов событий).
- Совместимая с ISI архитектура измерения и управления событиями для кибербезопасности и безопасности (ISI-006[7]): Этот рабочий элемент фокусируется на разработке языка кибербезопасности для моделирования информации об угрозах и обеспечения взаимодействия средств обнаружения.
- Руководство ISI по созданию и эксплуатации защищенного SOC (ISI-007[8]): Набор требований для создания и эксплуатации защищенного SOC (Security Operations Center), касающихся технических, человеческих и технологических аспектов.
- ISI Описание подхода SIEM для всей организации (ISI-008[9]): Полный подход SIEM (на основе CERT / SOC), позиционирующий все аспекты и спецификации ISI.
Предварительная работа над показателями информационной безопасности проводилась французским клубом R2GS. Первый общедоступный набор стандартов ISI (список индикаторов безопасности и модель событий) был выпущен в апреле 2013 года.
Рекомендации
- ^ ETSI GS ISI 001-1 (V1.1.2): Индикаторы ISI, часть 1; Полный набор операционных показателей, которые организации могут использовать для оценки уровня безопасности (2015-06) [1]
- ^ ETSI GS ISI 001-2 (V1.1.2): Индикаторы ISI, часть 2; Руководство по выбору операционных показателей на основе полного набора, приведенного в части 1 (2015-06) [2]
- ^ ETSI GS ISI 002 (V1.2.1): Модель событий ISI; Модель классификации и таксономия событий безопасности (2015-11) [3]
- ^ ETSI GS ISI 003 (V1.2.1): Ключевые показатели безопасности производительности ISI (KPSI) для оценки зрелости обнаружения событий безопасности (2018-01) [4]
- ^ ETSI GS ISI 004 (V1.1.1): Руководство ISI по реализации обнаружения событий (2013-12) [5]
- ^ ETSI GS ISI 005 (V1.1.1): Руководство ISI по тестированию обнаружения событий безопасности и оценке эффективности обнаружения (2015-11) [6]
- ^ ETSI GS ISI 006 (V1.1.1): управляемая ISI архитектура измерения и управления событиями (IMA) и CSlang - общий язык спецификации семантики ISI (2019-02) [7]
- ^ ETSI GS ISI 007 (V1.1.1): Руководство по созданию и эксплуатации защищенного центра безопасности (SOC) (2018-12) [8]
- ^ ETSI GS ISI 008 (V1.1.1): Описание общего подхода к управлению информацией и событиями безопасности в масштабах всей организации (SIEM) (2018-06) [9]