Контроль безопасности

Эта статья может сбивать с толку или быть непонятной читателям . Помогите, пожалуйста, уточнить статью . Возможно обсуждение этого вопроса на странице обсуждения . ( январь 2012 г. ) ( Узнайте, как и когда удалить это сообщение )

Меры безопасности — это меры безопасности или контрмеры, позволяющие избежать, обнаружить, противодействовать или минимизировать риски безопасности для физической собственности, информации, компьютерных систем или других активов. ^{[ 1 ]} В сфере информационной безопасности такие меры контроля защищают конфиденциальность, целостность и доступность информации .

Системы контроля можно назвать рамками или стандартами. Платформы могут позволить организации согласованно управлять средствами безопасности для различных типов активов.

Меры безопасности можно классифицировать по различным критериям. Например, средства контроля можно классифицировать по тому, как/когда/где они действуют относительно нарушения безопасности (иногда называемые типами средств контроля ):

• Превентивные меры предназначены для предотвращения инцидентов, например, путем блокировки несанкционированных злоумышленников;
• Детективные меры предназначены для идентификации, характеристики и регистрации инцидента , например, для изоляции подозрительного поведения злоумышленника в сети; ^{[ 2 ]}
• Компенсирующие меры смягчают постоянный ущерб от активного инцидента, например, выключение системы при обнаружении вредоносного ПО .
• После события корректирующие меры предназначены для восстановления ущерба, причиненного инцидентом, например, путем максимально эффективного восстановления организации до нормального рабочего состояния.

Меры безопасности также можно классифицировать в соответствии с реализацией мер безопасности (иногда называемыми категориями мер ), например:

• Физический контроль – например, заборы, двери, замки и огнетушители;
• Процедурный или административный контроль – например, процессы реагирования на инциденты , управленческий надзор, осведомленность о безопасности и обучение;
• Технические или логические средства контроля – например, аутентификация пользователя (вход в систему) и контроль логического доступа , антивирусное программное обеспечение , брандмауэры ;
• Правовой и нормативный контроль или контроль за соблюдением требований — например, законы , политики и положения о конфиденциальности.

Многочисленные стандарты информационной безопасности продвигают передовые методы обеспечения безопасности и определяют структуры или системы для структурирования анализа и разработки средств управления информационной безопасностью. Ниже приведены некоторые из наиболее известных стандартов.

ISO/IEC 27001:2022 вышел в октябре 2022 года. Все организации, сертифицированные по ISO 27001:2013, обязаны перейти на новую версию стандарта в течение 3 лет (к октябрю 2025 года).

Версия Стандарта 2022 года определяет 93 элемента управления в 4 группах:

• A.5: Организационный контроль
• A.6: Управление людьми
• A.7: Физический контроль
• А.8: Технологический контроль

Он группирует эти элементы управления в оперативные возможности следующим образом:

• Управление
• Управление активами
• Защита информации
• Безопасность человеческих ресурсов
• Физическая безопасность
• Системная и сетевая безопасность
• Безопасность приложений
• Безопасная конфигурация
• Управление идентификацией и доступом
• Управление угрозами и уязвимостями
• Непрерывность
• Безопасность отношений с поставщиками
• Законодательство и соблюдение требований
• Управление событиями информационной безопасности; и
• Информационная_безопасность_гарантия

Предыдущая версия стандарта ISO/IEC 27001 определяла 114 элементов управления в 14 группах:

• A.5: Политика информационной безопасности
• А.6: Как организована информационная безопасность
• A.7: Безопасность человеческих ресурсов – меры контроля, которые применяются до, во время или после трудоустройства.
• A.8: Управление активами
• A.9: Контроль доступа и управление доступом пользователей
• A.10: Криптографическая технология
• A.11: Физическая безопасность объектов и оборудования организации
• А.12: Эксплуатационная безопасность
• A.13: Безопасная связь и передача данных
• A.14: Безопасное приобретение, разработка и поддержка информационных систем
• A.15: Безопасность поставщиков и третьих сторон
• A.16: Управление инцидентами
• A.17: Непрерывность бизнеса/аварийное восстановление (в той степени, в которой это влияет на информационную безопасность)
• A.18: Соответствие – внутренним требованиям, например политикам, и внешним требованиям, например законам.

Федеральные стандарты обработки информации (FIPS) применяются ко всем правительственным учреждениям США. Однако некоторые системы национальной безопасности, находящиеся в ведении Комитета по системам национальной безопасности , управляются вне этих стандартов.

Федеральный стандарт обработки информации 200 (FIPS 200), «Минимальные требования безопасности для федеральной информации и информационных систем», определяет минимальные меры безопасности для федеральных информационных систем и процессы, с помощью которых происходит выбор мер безопасности с учетом рисков. Каталог минимальных мер безопасности можно найти в специальной публикации NIST SP 800-53.

FIPS 200 определяет 17 широких семейств средств контроля:

• Контроль доступа переменного тока
• Осведомленность и обучение AT
• Аудит и подотчетность АС
• Оценка безопасности и авторизация CA (историческое сокращение)
• Управление конфигурацией CM
• Планирование действий в чрезвычайных ситуациях CP
• Идентификация и аутентификация IA
• Реагирование на инциденты IR
• МА Техническое обслуживание
• МП Медиа Защита
• PE Физическая защита и защита окружающей среды
• Планирование ПЛ
• ПС Кадровая безопасность
• Оценка риска РА
• Приобретение систем и услуг SA
• Защита систем и коммуникаций SC
• Система SI и целостность информации

Национальный институт стандартов и технологий

Система, основанная на зрелости, разделена на пять функциональных областей и примерно 100 отдельных элементов управления в ее «ядре».

База данных, содержащая около тысячи технических средств контроля, сгруппированных по семействам и перекрестным ссылкам.

• Начиная с версии 3 документа 800-53, были определены средства контроля управления программой. Эти элементы управления не зависят от элементов управления системой, но необходимы для эффективной программы безопасности.
• Начиная с 4-й редакции 800-53, было определено восемь семейств мер обеспечения конфиденциальности, чтобы привести меры безопасности в соответствие с ожиданиями федерального закона в отношении конфиденциальности.
• Начиная с 5-й версии 800-53, элементы управления также обеспечивают конфиденциальность данных, как это определено структурой конфиденциальности данных NIST.

Собственный набор элементов управления, опубликованный ISACA. ^{[ 3 ]}

• Управление корпоративными ИТ
  • Оценка, руководство и мониторинг (EDM) – 5 процессов
• Управление корпоративными ИТ
  • Выравнивание, планирование и организация (APO) – 13 процессов
  • Сборка, приобретение и внедрение (BAI) – 10 процессов
  • Доставка, обслуживание и поддержка (DSS) – 6 процессов
  • Мониторинг, оценка и оценка (MEA) – 3 процесса

Ранее известный как SANS Critical Security Controls, теперь официально называемый CIS Critical Security Controls (COS Controls). ^{[ 4 ]} Элементы управления CIS разделены на 18 элементов управления.

• CIS Control 1: Инвентаризация и контроль активов предприятия
• CIS Control 2: Инвентаризация и контроль программных активов
• CIS Control 3: Защита данных
• CIS Control 4: Безопасная настройка корпоративных активов и программного обеспечения
• CIS Control 5: Управление учетными записями
• CIS Control 6: Управление контролем доступа
• CIS Control 7: Постоянное управление уязвимостями
• CIS Control 8: Управление журналом аудита
• CIS Control 9: Защита электронной почты и веб-браузера
• CIS Control 10: Защита от вредоносных программ
• CIS Control 11: Восстановление данных
• CIS Control 12: Управление сетевой инфраструктурой
• CIS Control 13: Мониторинг и защита сети
• CIS Control 14: Осведомленность в вопросах безопасности и обучение навыкам
• CIS Control 15: Управление поставщиками услуг
• CIS Control 16: Безопасность прикладного программного обеспечения
• CIS Control 17: Управление реагированием на инциденты
• CIS Control 18: Тестирование на проникновение

Средства контроля далее подразделяются на группы реализации (IG), которые представляют собой рекомендуемое руководство для определения приоритетности внедрения средств контроля CIS. ^{[ 5 ]}

Этот раздел нуждается в расширении . Вы можете помочь, добавив к нему . ( июль 2024 г. )

В телекоммуникациях меры безопасности определяются как услуги безопасности как часть модели OSI :

• Рекомендация МСЭ-Т X.800.
• ИСО ИСО 7498-2

Они технически согласованы. ^{[ 6 ] [ 7 ]} Эта модель широко известна. ^{[ 8 ] [ 9 ]}

Ответственность за данные определяется на пересечении рисков безопасности и законов, устанавливающих стандарты ухода. Появляется несколько баз данных, которые помогут риск-менеджерам исследовать законы, определяющие ответственность на уровне страны, провинции/штата и местного уровня. В этих наборах средств контроля соблюдение соответствующих законов является фактическим средством снижения рисков.

• Таблица уведомлений о нарушениях безопасности Perkins Coie: набор статей (по одной на каждый штат), определяющих требования к уведомлению о нарушениях данных в штатах США. ^{[ 10 ]}
• Законы NCSL об уведомлениях о нарушениях безопасности: список законодательных актов штатов США, определяющих требования к уведомлению о нарушениях данных. ^{[ 11 ]}
• Юрисдикция ts: коммерческая исследовательская платформа в области кибербезопасности, охватывающая более 380 законов штатов и федеральных законов США, влияющих на кибербезопасность до и после нарушения. Его юрисдикция также соответствует системе кибербезопасности NIST. ^{[ 12 ]}

Этот раздел представлен в виде списка , но его лучше читать в прозе . Вы можете помочь, конвертировав этот раздел , если это необходимо. помощь по редактированию Доступна . ( июль 2024 г. )

Существует широкий спектр рамок и стандартов, касающихся внутреннего бизнеса и межбизнесового контроля, в том числе:

• САУЭ 16
• ИСАЭ 3402
• Стандарт безопасности данных индустрии платежных карт
• Закон о переносимости и подотчетности медицинского страхования
• КОБИТ 4/5
• Топ-20 стран СНГ
• Структура кибербезопасности НИСТ

• Контроль доступа
• Авиационная безопасность
• Контрмера
• Глубокоэшелонированная защита
• Экологический дизайн
• Информационная безопасность
• Физическая безопасность
• Риск
• Безопасность
• Инженерия безопасности
• Управление безопасностью
• Услуги безопасности
• Модель Гордона – Леба для инвестиций в кибербезопасность

• NIST SP 800-53, редакция 4
• Инструкция Минобороны 8500.2
• Условия FISMApedia