Несколько слов о NIST

Сегодня хотелось бы бегло пробежаться по серии специальных изданий документов посвященных информационной безопасности от американского института NIST. В целом блок документов получил название NIST Special Publications 800 Series. Кратко рассмотрим их комплектность и содержание.

Введение

NIST (National Institute of Standards and Technology) – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. С 1901 по 1988 годы назывался Национальное бюро стандартов США. Национальный институт стандартов и технологии вместе с коллегами из Американским национальным институтом стандартов (ANSI) участвует в разработке стандартов и спецификаций к программным решениям используемым как в государственном секторе США, так и имеющим коммерческое применение. Важно отметить, что в его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. 

О них я и предлагаю поговорить сегодня подробнее.

В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:

• управление информационной безопасностью;
• технические вопросы обеспечения информационной безопасности;
• криптографическая защита информации.

На счету каждой из групп десятки публикаций.  Ниже мы приведем обзор наиболее интересных и популярных документов первых двух групп. 

Многие документы регулярно пересматриваются — в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.

1. Управление информационной безопасностью

Раздел содержит «джентельменский набор», пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого стоит.

SP 800-50 (2003)	Создание программы повышения осведомленности в области безопасности ИТ
	Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
SP 800-84 (2006)	Тестирование планов безопасности ИТ
	Политика, зоны ответственности, методология, примеры документов, частные методики: «настольный» тест, симуляции, тестирование в реальной обстановке
SP 800-100 (2006)	Коротко об информационной безопасности для руководства
	Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами
SP 800-60 (2008)	Классификация информации и информационных систем по требованиям к безопасности (методика классификатор)
	Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации
SP 800-115 (2008)	Технические вопросы оценки уровня ИБ
	Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации
SP 800-118 (2009)	Управление паролями
	Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии.
SP 800-37 (2010)	Управление рисками ИБ в федеральных информационных системах
	Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов
SP 800-34 (2010)	Планирование обеспечения непрерывности в федеральных информационных системах
	Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов
SP 800-137 (2011)	Мониторинг ИБ в федеральных информационных системах
	Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации
SP 800-61 (2012)	Управление инцидентами в области ИБ
	Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент
SP 800-40 (2012)	Управление обновлениями безопасности
	Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса

2. Технические вопросы обеспечения информационной безопасности

Далее в более кратком формате — наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое «вкусное», соответственно, наверное, в самом низу).

SP 800-24 (2001)	Информационная безопасность учрежденческих АТС (PBX)
SP 800-58 (2005)	Информационная безопасность VoIP
SP 800-77 (2005)	Введение в IPSEC
SP 800-88 (2006)	Доверенная очистка (уничтожение) данных на носителях информации
SP 800-92 (2006)	Управление журналами безопасности
SP 800-45 (2007)	Безопасность электронной почты
SP 800-54 (2007)	Безопасность BGP
SP 800-95 (2007)	Разработка безопасных Web-сервисов
SP 800-44 (2007)	Обеспечение безопасности публичных Web-серверов
SP 800-111 (2007)	Технологии шифрования данных при хранении (на стороне пользователя)
SP 800-114 (2007)	Защита устройств пользователя, используемых для удаленного доступа в сеть организации
SP 800-28 (2008)	Угрозы пользователю при использовании активного контента и мобильного кода
SP 800-113 (2008)	Введение в SSL VPN
SP 800-48 (2007)	Дополнительные меры безопасности при использовании устаревших протоколов беспроводных сетей (WEP, WPA)
SP 800-46 (2009)	Обеспечение безопасности при организации удаленного доступа в сеть организации
SP 800-41 (2009)	Файрволы (межсетевые экраны) и политики их применения
SP 800-81 (2010)	Внедрение Secure DNS
SP 800-127 (2010)	Обеспечение безопасности WiMAX-сетей
SP 800-119 (2010)	Вопросы безопасности при внедрении IPv6
SP 800-82 (2011)	Безопасность промышленных систем
SP 800-63 (2011)	Аутентификация в информационных системах
SP 800-125 (2011)	Обеспечение безопасности при использовании технологий виртуализации= хабраперевод =
SP 800-144 (2011)	Вопросы безопасности при использовании публичных облаков
SP 800-147 (2011)	Обеспечение целостности BIOS
SP 800-121 (2012)	Безопасность технологии Bluetooth
SP 800-83 (2012)	Антивирусная защита стационарных и мобильных рабочих мест сотрудников
SP 800-94 (2012)	Системы обнаружения/предотвращения вторжений (IDS/IPS)
SP 800-124 (2012)	Обеспечение безопасности мобильных устройств организации
SP 800-146 (2012)	Облачные вычисления: обзор технологий, анализ преимуществ и недостатков

Вот кратко  и все о чем я и хотел сегодня поведать!

Всем терпения, дорогие друзья в изучении документов, и удачи!