Стандарты информационной безопасности
Стандарты информационной безопасности или стандарты кибербезопасности [1] — это методы, обычно описанные в опубликованных материалах, которые пытаются защитить киберсреду пользователя или организации. [2] Эта среда включает в себя самих пользователей, сети, устройства, все программное обеспечение, процессы, хранимую или передаваемую информацию, приложения, сервисы и системы, которые могут быть подключены прямо или косвенно к сетям.
Основная цель — снизить риски, включая предотвращение или смягчение последствий кибератак . Эти опубликованные материалы состоят из инструментов, политик, концепций безопасности, мер безопасности, руководств, подходов к управлению рисками, действий, обучения, передового опыта, гарантий и технологий.
История [ править ]
Стандарты кибербезопасности существовали на протяжении нескольких десятилетий, поскольку пользователи и поставщики сотрудничали на многих внутренних и международных форумах для реализации необходимых возможностей, политик и практик – обычно возникших в результате работы в Стэнфордском консорциуме по исследованиям в области информационной безопасности и политики в 1990-х годах. [3]
Исследование внедрения структуры безопасности в США в 2016 году показало, что 70% опрошенных организаций считают NIST Cybersecurity Framework самой популярной передовой практикой в области компьютерной безопасности информационных технологий (ИТ), но многие отмечают, что это требует значительных инвестиций. [4] Трансграничные операции по киберэксфильтрации, проводимые правоохранительными органами с целью противодействия международной преступной деятельности в даркнете, поднимают сложные юрисдикционные вопросы, которые в некоторой степени остаются без ответа. [5] [6] Напряженность между усилиями внутренних правоохранительных органов по проведению трансграничных операций по киберэксфильтрации и международной юрисдикцией, вероятно, продолжит способствовать улучшению норм кибербезопасности. [5] [7]
стандарты Международные
В подразделах ниже подробно описаны международные стандарты, связанные с кибербезопасностью.
ISO/IEC 27001 и 27002 [ править ]
ISO/IEC 27001, часть растущего семейства стандартов ISO/IEC 27000 , представляет собой стандарт системы управления информационной безопасностью (ISMS), последняя редакция которого была опубликована в октябре 2022 года Международной организацией по стандартизации (ISO) и Международным Электротехническая комиссия (МЭК). Его полное название — ISO/IEC 27001:2022 — Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы управления информационной безопасностью. Требования .
Стандарт ISO/IEC 27001 был принят CEN и CENELEC так же, как EN ISO/IEC 27001. [8]
ISO/IEC 27001 формально определяет систему управления, предназначенную для того, чтобы поставить информационную безопасность под явный управленческий контроль.
ISO/IEC 27002 включает часть 1 BS 7799 стандарта надлежащей практики управления безопасностью . Последней версией BS 7799 является BS 7799-3. Поэтому иногда ISO/IEC 27002 называют ISO 17799 или BS 7799, часть 1, а иногда он относится к части 1 и части 7. BS 7799, часть 1, представляет собой краткое описание или руководство по передовой практике управления кибербезопасностью; тогда как BS 7799 часть 2 и ISO/IEC 27001 являются нормативными и, следовательно, обеспечивают основу для сертификации. ISO/IEC 27002 — это руководство высокого уровня по кибербезопасности. Это наиболее полезно в качестве поясняющего руководства для руководства организации по получению сертификации по стандарту ISO/IEC 27001. После получения сертификата срок действия составляет три года. В зависимости от аудиторской организации в течение трех лет может не проводиться никаких промежуточных аудитов или проводиться некоторые промежуточные аудиты.
ISO/IEC 27001 (ISMS) заменяет BS 7799, часть 2, но, поскольку он обратно совместим, любая организация, работающая над BS 7799, часть 2, может легко перейти к процессу сертификации ISO/IEC 27001. Существует также переходный аудит, который упрощает получение организацией сертификата ISO/IEC 27001 после того, как организация прошла сертификацию по стандарту BS 7799, часть 2. ISO/IEC 27002 предоставляет рекомендации по передовому опыту управления информационной безопасностью для использования лицами, ответственными за создание, внедрение или поддержание систем управления информационной безопасностью (СУИБ). В нем указаны системы информационной безопасности, необходимые для реализации целей управления ISO/IEC 27002. Без ISO/IEC 27001 цели управления ISO/IEC 27002 неэффективны. Цели средств контроля ISO/IEC 27002 включены в ISO 27001 в Приложении А.
ISO/IEC 21827 (SSE-CMM – ISO/IEC 21827) — это международный стандарт, основанный на модели зрелости возможностей системной безопасности (SSE-CMM), который может измерять зрелость целей управления ISO.
ИСО/МЭК 15408 [ править ]
Этот стандарт развивает так называемые « Общие критерии ». Это позволяет безопасно интегрировать и тестировать множество различных программных и аппаратных продуктов.
МЭК 62443 [ править ]
Стандарт кибербезопасности IEC 62443 определяет процессы, методы и требования для систем промышленной автоматизации и управления (IACS). Его документы являются результатом процесса создания стандартов МЭК, в ходе которого все участвующие национальные комитеты согласовывают общий стандарт.
Все стандарты и технические отчеты IEC 62443 сгруппированы в четыре общие категории: «Общее» , «Политика и процедуры» , «Система» и «Компонент» .
- Первая категория включает основополагающую информацию, такую как концепции, модели и терминология.
- Вторая категория рабочих продуктов предназначена для Владельца активов. Они касаются различных аспектов создания и поддержания эффективной программы безопасности IACS.
- Третья категория включает рабочие продукты, описывающие рекомендации по проектированию систем и требования к безопасной интеграции систем управления. Основой здесь являются зона и трубопровод, расчетная модель.
- Четвертая категория включает рабочие продукты, которые описывают конкретную разработку продукта и технические требования к продуктам систем управления.
ISO/SAE 21434 [ править ]
ISO/SAE 21434 «Дорожные транспортные средства. Инжиниринг кибербезопасности» — это стандарт кибербезопасности, совместно разработанный рабочими группами ISO и SAE . В нем предлагаются меры кибербезопасности для жизненного цикла разработки дорожных транспортных средств. Стандарт был опубликован в августе 2021 года. [9]
Этот стандарт связан с регламентом Европейского Союза (ЕС) по кибербезопасности, который в настоящее время разрабатывается. В координации с ЕС ЕЭК ООН разрабатывает сертификацию «Системы управления кибербезопасностью» (CSMS), которая станет обязательной для утверждения типа транспортных средств . ISO/SAE 21434 — это технический стандарт автомобильной разработки, который может продемонстрировать соответствие этим нормам.
Производным от этого является работа ЕЭК ООН WP29 , которая содержит правила кибербезопасности транспортных средств и обновления программного обеспечения. [10]
ПОИСК EN 303 645 [ изменить ]
Стандарт ETSI EN 303 645 предоставляет набор базовых требований к безопасности потребительских устройств Интернета вещей (IoT) . Он содержит технические средства контроля и организационную политику для разработчиков и производителей потребительских устройств, подключенных к Интернету. Стандарт был выпущен в июне 2020 года. [11] и предполагается, что он будет дополнен другими, более конкретными стандартами. Поскольку многие потребительские устройства Интернета вещей обрабатывают личную информацию (PII) , внедрение стандарта помогает обеспечить соответствие Общему регламенту защиты данных (GDPR) в ЕС. [12]
Положения кибербезопасности в этом европейском стандарте:
- Нет универсальных паролей по умолчанию
- Внедрить средства управления отчетами об уязвимостях.
- Постоянно обновляйте программное обеспечение
- Надежное хранение конфиденциальных параметров безопасности
- Безопасное общение
- Минимизируйте открытые поверхности атаки
- Обеспечьте целостность программного обеспечения
- Убедитесь, что личные данные в безопасности
- Сделайте системы устойчивыми к сбоям
- Изучите данные телеметрии системы
- Упростите пользователям удаление пользовательских данных
- Упростите установку и обслуживание устройств
- Проверка входных данных
Оценка соответствия этим базовым требованиям осуществляется с помощью стандарта TS 103 701, который допускает самосертификацию или сертификацию другой группой. [13]
Национальные стандарты [ править ]
В подразделах ниже подробно описаны национальные стандарты и рамки, связанные с кибербезопасностью.
НКРЭ [ править ]
Первоначальная попытка создать стандарты информационной безопасности для электроэнергетики была предпринята NERC в 2003 году и получила название NERC CSS (Стандарты кибербезопасности). [14] Вслед за руководящими принципами CSS NERC развила и усовершенствовала эти требования. Наиболее широко признанным современным стандартом безопасности NERC является NERC 1300, который представляет собой модификацию/обновление NERC 1200. Новейшая версия NERC 1300 называется от CIP-002-3 до CIP-009-3 (CIP = защита критической инфраструктуры). Эти стандарты используются для обеспечения безопасности электрических систем, хотя NERC разработала стандарты и в других областях. Стандарты электрических систем также обеспечивают администрирование сетевой безопасности, сохраняя при этом поддержку передовых отраслевых процессов. [1]
НИСТ [ править ]
- Структура кибербезопасности NIST (NIST CSF) «обеспечивает классификацию результатов кибербезопасности высокого уровня и методологию для оценки и управления этими результатами». Он предназначен для оказания помощи организациям частного сектора, которые предоставляют критически важную инфраструктуру , рекомендациями по ее защите, а также соответствующей защитой конфиденциальности и гражданских свобод . [15]
- Специальная публикация 800-12 предоставляет широкий обзор областей компьютерной безопасности и контроля. Он также подчеркивает важность мер безопасности и способов их реализации. Первоначально этот документ был ориентирован на федеральное правительство, хотя большая часть практик, изложенных в этом документе, может быть применена и к частному сектору. В частности, оно было написано для тех людей в федеральном правительстве, которые отвечают за работу с конфиденциальными системами. [2]
- Специальная публикация 800-14 описывает используемые общие принципы безопасности. Он обеспечивает высокоуровневое описание того, что должно быть включено в политику компьютерной безопасности. В нем описывается, что можно сделать для улучшения существующей безопасности, а также как разработать новую практику обеспечения безопасности. В этом документе описаны восемь принципов и четырнадцать практик. [3]
- Специальная публикация 800-26 содержит советы по управлению ИТ-безопасностью. Заменен NIST SP 800-53 rev3. В этом документе подчеркивается важность самооценки, а также оценки рисков. [4]
- Специальная публикация 800-37, обновленная в 2010 году, представляет новый подход к рискам: «Руководство по применению структуры управления рисками в федеральных информационных системах».
- Специальная публикация 800-53 rev4, «Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций», опубликованная в апреле 2013 г. и обновленная с учетом обновлений по состоянию на 15 января 2014 г., конкретно рассматривает 194 элемента управления безопасностью, которые применяются к системе, чтобы сделать ее « более безопасный».
- Специальная публикация 800-63-3 «Руководство по цифровой идентификации», опубликованная в июне 2017 г. и обновленная с учетом обновлений по состоянию на 1 декабря 2017 г., содержит рекомендации по внедрению услуг цифровой идентификации, включая проверку личности, регистрацию и аутентификацию пользователей. [5]
- Специальная публикация 800-82, редакция 2, «Руководство по безопасности промышленных систем управления (ICS)», пересмотренная в мае 2015 г., описывает, как защитить несколько типов промышленных систем управления от кибератак, принимая во внимание требования к производительности, надежности и безопасности, характерные для них. ИКС. [6]
ФИПС edit140
Серия 140 Федеральных стандартов обработки информации ( FIPS ) — это стандарты компьютерной безопасности правительства США , которые определяют требования к модулям шифрования . И FIPS 140-2 , и FIPS 140-3 считаются текущими и активными.
NCSC Cyber Essentials [ править ]
Cyber Essentials — это Соединенного Королевства правительства схема обеспечения информации , которой управляет Национальный центр кибербезопасности (NCSC) . Он поощряет организации применять передовой опыт в области информационной безопасности. Cyber Essentials также включает в себя систему обеспечения безопасности и простой набор мер безопасности для защиты информации от угроз, исходящих из Интернета.
Основная восьмерка [ править ]
Австралийский центр кибербезопасности разработал приоритетные стратегии смягчения последствий в форме стратегий по смягчению инцидентов кибербезопасности, чтобы помочь организациям защитить себя от различных киберугроз. Наиболее эффективные из этих стратегий смягчения последствий называются «Основной восьмеркой». [16]
BSI IT-Grundschutz [ править ]
Стандарты Федерального ведомства по информационной безопасности ( нем . Bundesamt für Sicherheit in der Informationstechnik , сокращенно BSI) являются элементарным компонентом методологии базовой защиты ИТ ( нем . IT-Grundschutz ). Они содержат рекомендации по методам, процессам и процедурам, а также подходам и мерам по различным аспектам информационной безопасности. Пользователи из государственных органов и компаний, а также производители или поставщики услуг могут использовать стандарты BSI, чтобы сделать свои бизнес-процессы и данные более безопасными. [17]
- Стандарт BSI 100-4 охватывает управление непрерывностью бизнеса (BCM) .
- Стандарт BSI 200-1 определяет общие требования к системе управления информационной безопасностью (ISMS). Он совместим с ISO 27001 и учитывает рекомендации других стандартов ISO, таких как ISO 27002.
- Стандарт BSI 200-2 формирует основу методологии BSI для создания надежной системы управления информационной безопасностью (ISMS). Он устанавливает три процедуры реализации базовой защиты ИТ.
- Стандарт BSI 200-3 объединяет все шаги, связанные с рисками, при реализации базовой защиты ИТ.
Отраслевые стандарты
В подразделах ниже подробно описаны стандарты и основы кибербезопасности, относящиеся к конкретным отраслям.
PCI DSS [ править ]
Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это стандарт информационной безопасности для организаций, которые обрабатывают фирменные кредитные карты основных карточных схем. Стандарт PCI утвержден брендами карт, но администрируется Советом по стандартам безопасности индустрии платежных карт. Стандарт был создан для усиления контроля над данными держателей карт и уменьшения мошенничества с кредитными картами.
UL 2900 [ править ]
UL 2900 — это серия стандартов, опубликованных UL . Стандарты включают общие требования кибербезопасности (UL 2900-1), а также специальные требования к медицинской продукции (UL 2900-2-1), промышленным системам (UL 2900-2-2), а также системам сигнализации безопасности и безопасности жизни (UL 2900). -2-3).
UL 2900 требует, чтобы производители описали и задокументировали возможности атак технологий, используемых в их продуктах. Для этого требуется моделирование угроз на основе предполагаемого использования и среды развертывания. Стандарт требует внедрения эффективных мер безопасности, которые защищают конфиденциальные (личные) данные, а также другие активы, такие как данные управления и контроля. Это также требует, чтобы уязвимости безопасности в программном обеспечении были устранены, соблюдались такие принципы безопасности, как глубокоэшелонированная защита, а безопасность программного обеспечения была проверена посредством тестирования на проникновение.
См. также [ править ]
- Главный специалист по информационной безопасности
- Компьютерная безопасность
- Безопасность системы контроля
- Информационная безопасность
- Гарантия информации
- Модель Гордона – Леба для инвестиций в кибербезопасность
Примечания [ править ]
- ^ «Руководство по кибербезопасности интеллектуальных сетей» (PDF) . Национальный институт стандартов и технологий . Сентябрь 2014 г. doi : 10.6028/NIST.IR.7628r1 . Проверено 28 ноября 2023 г.
- ^ «База данных рекомендаций МСЭ-Т» .
- ^ «FSI — Консорциум исследований в области информационной безопасности и политики» .
- ^ «Внедрение системы кибербезопасности NIST затруднено из-за затрат, как показало исследование» . 30 марта 2016 года . Проверено 2 августа 2016 г.
- ^ Jump up to: Перейти обратно: а б Гаппур, Ахмед (1 января 2017 г.). «Таллинн, хакерство и обычное международное право» . АДЖИЛ Освобожденный . 111 : 224–228. дои : 10.1017/aju.2017.59 .
- ^ Гаппур, Ахмед (01 апреля 2017 г.). «Поиск неизвестных мест: юрисдикция правоохранительных органов в темной сети» . Стэнфордский юридический обзор . 69 (4): 1075.
- ^ Гаппур, Ахмед (2017). «Поиск неизвестных мест: юрисдикция правоохранительных органов в темной сети» . Стэнфордский юридический обзор . 69 (4).
- ^ «Стандарты информационной безопасности» . Genorma.com . Стандарты Genorma, CEN и CENELEC.
- ^ ISO/SAE 21434:2021 Транспорт дорожный. Проектирование кибербезопасности.
- ^ «Правила ООН по кибербезопасности и обновлениям программного обеспечения откроют путь к массовому внедрению подключенных транспортных средств | ЕЭК ООН» . unece.org .
- ^ Объявление ETSI
- ^ ETSI EN 303 645 V2.1.0
- ^ «ETSI TS 103 701 Кибербезопасность для потребительского Интернета вещей: оценка соответствия базовым требованиям» (PDF) . ЕТСИ .
- ^ Symantec Control Compliance Suite - Правила NERC и FERC. Архивировано 22 октября 2016 г. в подразделе Wayback Machine : История стандартов NERC.
- ^ «Структура кибербезопасности NIST» . НИСТ . 12 ноября 2013 года . Проверено 2 августа 2016 г.
- ^ «Основная модель восьми зрелости» . Австралийский центр кибербезопасности . Проверено 29 сентября 2022 г. Текст был скопирован из этого источника, который доступен по международной лицензии Creative Commons Attribution 4.0 .
- ^ «БСИ – ИТ-Грундшутц» . БСИ (на немецком языке) . Проверено 26 марта 2021 г.
Ссылки [ править ]
- ^ Министерство внутренней безопасности, Сравнение стандартов кибербезопасности, разработанных нефтегазовым сегментом. (5 ноября 2004 г.)
- ^ Гутман М., Суонсон М., Национальный институт стандартов и технологий; Технологическое управление; Министерство торговли США. Общепринятые принципы и практика обеспечения безопасности систем информационных технологий (800–14). (сентябрь 1996 г.)
- ^ Национальный институт стандартов и технологий; Технологическое управление; Министерство торговли США. Введение в компьютерную безопасность: Справочник NIST, специальная публикация 800-12.
- ^ Суонсон, М., Национальный институт стандартов и технологий; Технологическое управление; Министерство торговли США. Руководство по самооценке безопасности систем информационных технологий (800–26).
- ^ Грасси, П.; Гарсия, М.; Фентон, Дж.; Национальный институт стандартов и технологий; Министерство торговли США. Рекомендации по цифровой идентификации (800-63-3).
- ^ Стоуффер, К.; Пиллиттери, В.; Лайтман, С.; Абрамс, М.; Хан, А.; Национальный институт стандартов и технологий; Министерство торговли США. Руководство по безопасности промышленных систем управления (ICS) (800–82).
- ^ Североамериканский совет по надежности электроснабжения (NERC). http://www.nerc.com . Проверено 12 ноября 2005 г.
- ^ Экзаменационный совет Федеральных финансовых учреждений (FFIEC). https://www.ffiec.gov . Проверено 18 апреля 2018 г.
Внешние ссылки [ править ]
- Кибербезопасность МЭК
- ISO 27001 Информационная безопасность
- Стандарты CIP NERC
- Презентация профессора Уильяма Сандерса, Университет Иллинойса
- Конференция по глобальной политике кибербезопасности
- 10-минутное руководство по системе кибербезопасности NIST. Архивировано 14 апреля 2021 г. на Wayback Machine.
- Веб-сайт Экспертизного совета Федеральных финансовых учреждений (FFIEC)
- Критические меры безопасности в СНГ
- Общие критерии NCSC Великобритании
- ISO/SAE 21434 Проблемы в этой области
- Будущее глобального рынка киберстрахования