воскресенье, 10 июля 2016 г.

Несколько слов о NIST

Сегодня хотелось бы бегло пробежаться по серии специальных изданий документов посвященных информационной безопасности от американского института NIST. В целом блок документов получил название NIST Special Publications 800 Series. Кратко рассмотрим их комплектность и содержание.





NIST

Введение
NIST (National Institute of Standards and Technology) – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. С 1901 по 1988 годы назывался Национальное бюро стандартов СШАНациональный институт стандартов и технологии вместе с коллегами из Американским национальным институтом стандартов (ANSI) участвует в разработке стандартов и спецификаций к программным решениям используемым как в государственном секторе США, так и имеющим коммерческое применение. Важно отметить, что в его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. 

О них я и предлагаю поговорить сегодня подробнее.


В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:


  • управление информационной безопасностью;
  • технические вопросы обеспечения информационной безопасности;
  • криптографическая защита информации.


На счету каждой из групп десятки публикаций.  Ниже мы приведем обзор наиболее интересных и популярных документов первых двух групп. 



Многие документы регулярно пересматриваются — в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.



1. Управление информационной безопасностью



Раздел содержит «джентельменский набор», пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого стоит.

SP 800-50
(2003)
Создание программы повышения осведомленности в области безопасности ИТ
Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
SP 800-84
(2006)
Тестирование планов безопасности ИТ
Политика, зоны ответственности, методология, примеры документов, частные методики: «настольный» тест, симуляции, тестирование в реальной обстановке
SP 800-100
(2006)
Коротко об информационной безопасности для руководства
Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами
SP 800-60
(2008)
Классификация информации и информационных систем по требованиям к безопасности (методика классификатор)
Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации
SP 800-115
(2008)
Технические вопросы оценки уровня ИБ
Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации
SP 800-118
(2009)
Управление паролями
Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии.
SP 800-37
(2010)
Управление рисками ИБ в федеральных информационных системах
Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов
SP 800-34
(2010)
Планирование обеспечения непрерывности в федеральных информационных системах
Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов
SP 800-137
(2011)
Мониторинг ИБ в федеральных информационных системах
Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации
SP 800-61
(2012)
Управление инцидентами в области ИБ
Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент
SP 800-40
(2012)
Управление обновлениями безопасности
Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса


2. Технические вопросы обеспечения информационной безопасности



Далее в более кратком формате — наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое «вкусное», соответственно, наверное, в самом низу).

SP 800-24
(2001)
Информационная безопасность учрежденческих АТС (PBX)
SP 800-58
(2005)
Информационная безопасность VoIP
SP 800-77
(2005)
Введение в IPSEC
SP 800-88
(2006)
Доверенная очистка (уничтожение) данных на носителях информации
SP 800-92
(2006)
Управление журналами безопасности
SP 800-45
(2007)
Безопасность электронной почты
SP 800-54
(2007)
Безопасность BGP
SP 800-95
(2007)
Разработка безопасных Web-сервисов
SP 800-44
(2007)
Обеспечение безопасности публичных Web-серверов
SP 800-111
(2007)
Технологии шифрования данных при хранении (на стороне пользователя)
SP 800-114
(2007)
Защита устройств пользователя, используемых для удаленного доступа в сеть организации
SP 800-28
(2008)
Угрозы пользователю при использовании активного контента и мобильного кода
SP 800-113
(2008)
Введение в SSL VPN
SP 800-48
(2007)
Дополнительные меры безопасности при использовании устаревших протоколов беспроводных сетей (WEP, WPA)
SP 800-46
(2009)
Обеспечение безопасности при организации удаленного доступа в сеть организации
SP 800-41
(2009)
Файрволы (межсетевые экраны) и политики их применения
SP 800-81
(2010)
Внедрение Secure DNS
SP 800-127
(2010)
Обеспечение безопасности WiMAX-сетей
SP 800-119
(2010)
Вопросы безопасности при внедрении IPv6
SP 800-82
(2011)
Безопасность промышленных систем
SP 800-63
(2011)
Аутентификация в информационных системах
SP 800-125
(2011)
Обеспечение безопасности при использовании технологий виртуализации= хабраперевод =
SP 800-144
(2011)
Вопросы безопасности при использовании публичных облаков
SP 800-147
(2011)
Обеспечение целостности BIOS
SP 800-121
(2012)
Безопасность технологии Bluetooth
SP 800-83
(2012)
Антивирусная защита стационарных и мобильных рабочих мест сотрудников
SP 800-94
(2012)
Системы обнаружения/предотвращения вторжений (IDS/IPS)
SP 800-124
(2012)
Обеспечение безопасности мобильных устройств организации
SP 800-146
(2012)
Облачные вычисления: обзор технологий, анализ преимуществ и недостатков

Вот кратко  и все о чем я и хотел сегодня поведать!
Всем терпения, дорогие друзья в изучении документов, и удачи!

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.