Контроль безопасности
Эта статья может сбивать с толку или быть непонятной читателям . ( январь 2012 г. ) |
Меры безопасности — это меры безопасности или контрмеры, позволяющие избежать, обнаружить, противодействовать или минимизировать риски безопасности для физической собственности, информации, компьютерных систем или других активов. [1] В сфере информационной безопасности такие меры контроля защищают конфиденциальность, целостность и доступность информации .
Системы контроля можно назвать рамками или стандартами. Платформы могут позволить организации согласованно управлять средствами безопасности для различных типов активов.
Типы мер безопасности [ править ]
Меры безопасности можно классифицировать по различным критериям. Например, средства контроля иногда классифицируются по тому, когда они действуют в отношении нарушения безопасности:
- Перед событием превентивные меры контроля предназначены для предотвращения возникновения инцидента, например, путем блокировки несанкционированных злоумышленников;
- Во время мероприятия средства детективного контроля предназначены для выявления и характеристики происходящего инцидента, например, путем подачи сигнала тревоги о несанкционированном проникновении и оповещения охранников или полиции;
- После события корректирующие меры предназначены для ограничения размера любого ущерба, причиненного инцидентом, например, путем максимально эффективного восстановления организации до нормального рабочего состояния.
Меры безопасности также можно классифицировать по их характеристикам, например:
- Физический контроль , например. заборы, двери, замки и огнетушители;
- Процедурный или административный контроль, например. процессы реагирования на инциденты, управленческий надзор, осведомленность о безопасности и обучение;
- Технический или логический контроль, например. аутентификация пользователей (вход в систему) и логический контроль доступа, антивирусное программное обеспечение, межсетевые экраны;
- Правовой и нормативный контроль или контроль соблюдения требований , например. законы, политики и положения о конфиденциальности.
Дополнительную информацию о мерах безопасности в вычислительной технике см. в разделах «Эшелонированная защита (вычисления)» и «Информационная безопасность».
Стандарты информационной безопасности и системы контроля [ править ]
Многочисленные стандарты информационной безопасности продвигают передовые методы обеспечения безопасности и определяют структуры или системы для структурирования анализа и разработки средств управления информационной безопасностью. Ниже приведены некоторые из наиболее известных стандартов.
Международная стандартизации по организация
ISO/IEC 27001:2022 вышел в октябре 2022 года. Все организации, сертифицированные по ISO 27001:2013, обязаны перейти на новую версию стандарта в течение 3 лет (к октябрю 2025 года).
Версия Стандарта 2022 года определяет 93 элемента управления в 4 группах:
- A.5: Организационный контроль
- A.6: Управление людьми
- A.7: Физический контроль
- А.8: Технологический контроль
Он группирует эти элементы управления в оперативные возможности следующим образом:
- Управление
- Управление активами
- Защита информации
- Безопасность человеческих ресурсов
- Физическая безопасность
- Системная и сетевая безопасность
- Безопасность приложений
- Безопасная конфигурация
- Управление идентификацией и доступом
- Управление угрозами и уязвимостями
- Непрерывность
- Безопасность отношений с поставщиками
- Законодательство и соблюдение требований
- Управление событиями информационной безопасности; и
- Информационная_безопасность_гарантия
Предыдущая версия стандарта ISO/IEC 27001 определяла 114 элементов управления в 14 группах:
- A.5: Политика информационной безопасности
- А.6: Как организована информационная безопасность
- A.7: Безопасность человеческих ресурсов – меры контроля, которые применяются до, во время или после трудоустройства.
- A.8: Управление активами
- A.9: Контроль доступа и управление доступом пользователей
- A.10: Криптографическая технология
- A.11: Физическая безопасность объектов и оборудования организации
- А.12: Эксплуатационная безопасность
- A.13: Безопасная связь и передача данных
- A.14: Безопасное приобретение, разработка и поддержка информационных систем
- A.15: Безопасность поставщиков и третьих сторон
- A.16: Управление инцидентами
- A.17: Непрерывность бизнеса/аварийное восстановление (в той степени, в которой это влияет на информационную безопасность)
- A.18: Соответствие – внутренним требованиям, например политикам, и внешним требованиям, например законам.
правительства безопасности федерального Стандарты информационной США
Федеральные стандарты обработки информации (FIPS) применяются ко всем правительственным учреждениям США. Однако некоторые системы национальной безопасности, находящиеся в ведении Комитета по системам национальной безопасности , управляются вне этих стандартов.
Федеральный стандарт обработки информации 200 (FIPS 200), «Минимальные требования безопасности для федеральной информации и информационных систем», определяет минимальные меры безопасности для федеральных информационных систем и процессы, с помощью которых происходит выбор мер безопасности с учетом рисков. Каталог минимальных мер безопасности можно найти в специальной публикации NIST SP 800-53.
FIPS 200 определяет 17 широких семейств средств контроля:
- Контроль доступа переменного тока
- Осведомленность и обучение AT
- Аудит и подотчетность АС
- Оценка безопасности и авторизация CA (историческое сокращение)
- Управление конфигурацией CM
- Планирование действий в чрезвычайных ситуациях CP
- Идентификация и аутентификация IA
- Реагирование на инциденты IR
- МА Техническое обслуживание
- МП Медиа Защита
- PE Физическая защита и защита окружающей среды
- ПЛ Планирование
- ПС Кадровая безопасность
- Оценка риска РА
- Приобретение систем и услуг SA
- Защита систем и коммуникаций SC
- Система SI и целостность информации
Национальный институт стандартов и технологий
Структура кибербезопасности NIST [ править ]
Система, основанная на зрелости, разделена на пять функциональных областей и примерно 100 отдельных элементов управления в ее «ядре».
НИСТ SP-800-53 [ править ]
База данных, содержащая около тысячи технических средств контроля, сгруппированных по семействам и перекрестным ссылкам.
- Начиная с версии 3 документа 800-53, были определены средства контроля управления программой. Эти элементы управления не зависят от элементов управления системой, но необходимы для эффективной программы безопасности.
- Начиная с 4-й редакции 800-53, было определено восемь семейств мер обеспечения конфиденциальности, чтобы привести меры безопасности в соответствие с ожиданиями федерального закона в отношении конфиденциальности.
- Начиная с 5-й версии 800-53, средства контроля также касаются конфиденциальности данных, как это определено структурой конфиденциальности данных NIST.
наборы Коммерческие управления
КОБИТ5 [ править ]
Собственный набор элементов управления, опубликованный ISACA. [2]
- Управление корпоративными ИТ
- Оценка, руководство и мониторинг (EDM) – 5 процессов
- Управление корпоративными ИТ
- Выравнивание, планирование и организация (APO) – 13 процессов
- Сборка, приобретение и внедрение (BAI) – 10 процессов
- Доставка, обслуживание и поддержка (DSS) – 6 процессов
- Мониторинг, оценка и оценка (MEA) – 3 процесса
Элементы управления CIS (CIS 18) [ править ]
Ранее известный как SANS Critical Security Controls, теперь официально называемый CIS Critical Security Controls (COS Controls). [3] Элементы управления CIS разделены на 18 элементов управления.
- CIS Control 1: Инвентаризация и контроль активов предприятия
- CIS Control 2: Инвентаризация и контроль программных активов
- CIS Control 3: Защита данных
- CIS Control 4: Безопасная настройка корпоративных активов и программного обеспечения
- CIS Control 5: Управление учетными записями
- CIS Control 6: Управление контролем доступа
- CIS Control 7: Постоянное управление уязвимостями
- CIS Control 8: Управление журналом аудита
- CIS Control 9: Защита электронной почты и веб-браузера
- CIS Control 10: Защита от вредоносных программ
- CIS Control 11: Восстановление данных
- CIS Control 12: Управление сетевой инфраструктурой
- CIS Control 13: Мониторинг и защита сети
- CIS Control 14: Осведомленность в вопросах безопасности и обучение навыкам
- CIS Control 15: Управление поставщиками услуг
- CIS Control 16: Безопасность прикладного программного обеспечения
- CIS Control 17: Управление реагированием на инциденты
- CIS Control 18: Тестирование на проникновение
Средства контроля далее подразделяются на группы реализации (IG), которые представляют собой рекомендуемое руководство для определения приоритетности внедрения средств контроля CIS. [4]
Телекоммуникации [ править ]
В телекоммуникациях меры безопасности определяются как услуги безопасности как часть эталонной модели OSI.
- Рекомендация МСЭ-Т X.800.
- ИСО ИСО 7498-2
Они технически согласованы. [5] [6] Эта модель широко известна. [7] [8]
Ответственность за данные (юридическая, нормативная, нормативная) [ править ]
Ответственность за данные определяется на пересечении рисков безопасности и законов, устанавливающих стандарты ухода. Появляется несколько баз данных, которые помогут риск-менеджерам исследовать законы, определяющие ответственность на уровне страны, провинции/штата и местного уровня. В этих наборах средств контроля соблюдение соответствующих законов является фактическим средством снижения рисков.
- Таблица уведомлений о нарушениях безопасности Perkins Coie: набор статей (по одной на каждый штат), определяющих требования к уведомлению о нарушениях данных в штатах США. [9]
- Законы NCSL об уведомлениях о нарушениях безопасности: список законодательных актов штатов США, определяющих требования к уведомлению о нарушениях данных. [10]
- Юрисдикция ts: коммерческая исследовательская платформа в области кибербезопасности, охватывающая более 380 законов штатов и федеральных законов США, влияющих на кибербезопасность до и после нарушения. Его юрисдикция также соответствует системе кибербезопасности NIST. [11]
Системы бизнес-контроля [ править ]
Существует широкий спектр структур и стандартов, касающихся внутреннего бизнеса и межбизнесового контроля, в том числе:
- САУЭ 16
- ИСАЭ 3402
- Стандарт безопасности данных индустрии платежных карт
- Закон о переносимости и подотчетности медицинского страхования
- КОБИТ 4/5
- Топ-20 стран СНГ
- Структура кибербезопасности НИСТ
См. также [ править ]
- Контроль доступа
- Авиационная безопасность
- контрмера
- Экологический дизайн
- Информационная безопасность
- Эталонная модель OSI
- Физическая безопасность
- Риск
- Безопасность
- Инженерия безопасности
- Управление безопасностью
- Услуги безопасности
- Модель Гордона – Леба для инвестиций в кибербезопасность
Ссылки [ править ]
- ^ «Что такое меры безопасности?» . www.ibm.com . Проверено 31 октября 2020 г.
- ^ «COBIT Framework | Риски и управление | Управление ИТ на предприятии — ISACA» . cobitonline.isaca.org . Проверено 18 марта 2020 г.
- ^ «18 элементов управления СНГ» . СНГ . Проверено 8 ноября 2022 г.
- ^ «Группы реализации критических мер безопасности в СНГ» . СНГ . Проверено 8 ноября 2022 г.
- ^ X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
- ^ ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2: Архитектура безопасности)
- ^ Уильям СтоллингсКриптография и сетевая безопасностьВторое издание ISBN 88-386-6377-7 Итальянский перевод Луки Сальгарелликриптографии и сетевой безопасности, 4-е изданиеПирсон2006 г.
- ^ Защита информационных и коммуникационных систем: принципы, технологии и приложения.Стивен Фернелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 г. - 362 страницы.
- ^ «Таблица уведомлений о нарушениях безопасности» . Перкинс Кой . Проверено 18 марта 2020 г.
- ^ «Законы об уведомлениях о нарушениях безопасности» . www.ncsl.org . Проверено 18 марта 2020 г.
- ^ "ТС юрисдикция" . Эскиз угрозы . Проверено 18 марта 2020 г.