Концепция кибербезопасности Национального института стандартов и технологий (NIST CSF) — это набор рекомендаций и лучших практик для управления киберактивами организации и их защиты. Концепция разработана таким образом, чтобы быть гибкой и адаптируемой к уникальным потребностям различных организаций, и может использоваться предприятиями, государственными учреждениями и другими организациями всех размеров, относящимися к любым отраслям. NIST CSF разделена на пять основных функций: идентификация, защита, обнаружение, реагирование и восстановление. Эти функции обеспечивают структуру для управления кибербезопасностью организации и улучшения ее состояния. Каждая функция имеет набор категорий и подкатегорий, которые описывают конкретные действия и результаты в области кибербезопасности.
• Функция идентификации направлена на понимание того, какие киберактивы имеются у организации, в чем заключаются угрозы, с которыми они сталкиваются, и каким может быть потенциальное воздействие киберинцидента. Эта функция включает такие виды деятельности, как управление рисками, руководство и управление активами.
• Функция защиты направлена на реализацию мер защиты для предотвращения и/или смягчения последствий киберинцидента. Она включает в себя такие действия, как контроль доступа, реагирование на инциденты и обучение по вопросам безопасности.
• Функция обнаружения направлена на выявление потенциальных киберинцидентов и своевременное реагирование на них. Она включает такие виды деятельности, как мониторинг, обнаружение и анализ.
• Функция реагирования направлена на принятие мер по локализации киберинцидента и смягчению его последствий. Она включает в себя такие действия, как реагирование на инцидент и восстановление.
• Функция восстановления направлена на возобновление нормальной работы и извлечение уроков из инцидента для улучшения будущих действий по обеспечению кибербезопасности. Она включает такие мероприятия, как планирование непрерывности бизнеса и анализ ситуации после инцидента.
Внедрение NIST CSF включает в себя ряд шагов, в том числе следующие:
• самооценка существующего состояния кибербезопасности организации;
• выявление недостатков и областей для улучшения;
• разработка плана по устранению выявленных недостатков и улучшению общего уровня кибербезопасности;
• реализация плана;
• постоянный мониторинг и оценка состояния кибербезопасности организации.
NIST CSF — полезный инструмент, позволяющий повысить уровень кибербезопасности в организации и продемонстрировать ее соответствие различным нормативным и отраслевым стандартам.
Федеральный закон о модернизации информационной безопасности (FISMA) — это набор правил, установленных правительством США для обеспечения того, чтобы федеральные агентства внедряли и поддерживали эффективные средства контроля информационной безопасности. Соблюдение FISMA обязательно для всех агентств и организаций, которые работают с конфиденциальной правительственной информацией.
Для достижения соответствия требованиям FISMA организации должны разработать, документировать и внедрить программу информационной безопасности, которая включает в себя политику, процедуры и технические средства контроля. Ее следует регулярно пересматривать и обновлять, чтобы гарантировать, что она эффективно защищает конфиденциальную информацию.
Некоторые ключевые рекомендации и лучшие практики для достижения соответствия требованиям FISMA:
• Разработка и внедрение системы управления информационной безопасностью (СУИБ), основанной на стандарте ISO/IEC 27001.
• Регулярная оценка рисков для выявления потенциальных угроз и уязвимостей.
• Внедрение технических средств контроля для защиты от несанкционированного доступа, раскрытия, изменения или уничтожения конфиденциальной информации.
• Разработка планов реагирования на инциденты и аварийного восстановления для обеспечения быстрого и эффективного восстановления конфиденциальной информации в случае инцидента безопасности.
• Регулярный мониторинг и тестирование средств контроля безопасности для обеспечения того, чтобы они функционировали так, как задумано, а также для своевременного выявления и устранения любых проблем.
• Обучение по вопросам безопасности для всех сотрудников, позволяющее убедиться, что они понимают свои роли и обязанности по защите конфиденциальной информации.
• Регулярный отчет об эффективности программы информационной безопасности организации перед высшим руководством и государственными чиновниками.
Соблюдение требований FISMA — непрерывный процесс, который требует регулярного мониторинга и анализа для обеспечения того, чтобы программа информационной безопасности организации оставалась эффективной. Организации должны знать о любых изменениях в правилах FISMA и соответствующим образом обновлять свою программу.
Центр интернет-безопасности (Center for Internet Security, CIS) Critical Security Controls (CSC) — это набор лучших практик и рекомендаций по обеспечению безопасности ИТ-систем и сетей. Эти средства контроля разработаны для обеспечения проактивного и комплексного подхода к защите ИТ-систем и сетей и основаны на наиболее распространенных и опасных сценариях кибератак. CIS CSC разделены на 20 областей контроля, каждая из которых затрагивает конкретный аспект безопасности.
Внедрение CIS CSC включает в себя определение наиболее важных активов и уязвимостей в организации и внедрение средств контроля для их защиты. Этот процесс обычно начинается с оценки рисков, за которой следуют разработка плана безопасности и внедрение средств контроля.
CIS CSC разработаны гибкими, их можно адаптировать к конкретным потребностям организации. Они могут быть реализованы различными способами: в виде технологических решений, политик и процедур, а также обучения сотрудников.
Одно из ключевых преимуществ CIS CSC — то, что они регулярно обновляются, чтобы отражать новейшие угрозы безопасности. Организации, принявшие CIS CSC, могут оставаться в курсе последних тенденций и угроз безопасности и быть лучше подготовленными к реагированию на кибератаки и восстановлению после них.
ISO/IEC 27001 — это международный стандарт для систем управления информационной безопасностью. Он обеспечивает основу управления конфиденциальной информацией компании таким образом, чтобы она оставалась в безопасности. Стандарт описывает систематический подход к управлению конфиденциальной информацией, включая людей, процессы и технологии.
Основан стандарт на управлении рисками и разработан таким образом, чтобы не зависеть от типа, размера или характера организации. Он включает руководящие указания и общие принципы инициирования, внедрения, поддержания и улучшения управления информационной безопасностью в организации.
ISO/IEC 27001 требует внедрения формальной СУИБ, которая включает следующие шаги:
• Выявление рисков для доступности, целостности и конфиденциальности информации и их оценка.
• Внедрение средств контроля для устранения выявленных рисков.
• Постоянный мониторинг и анализ эффективности средств контроля.
• Регулярный пересмотр и обновление СУИБ в ответ на изменения в потребностях информационной безопасности организации, рисках и среде безопасности.
Стандарт включает также требования к приверженности руководства к принципам информационной безопасности, к коммуникации и осведомленности персонала, к управлению инцидентами, а также к постоянному совершенствованию системы управления информационной безопасностью (СУИБ). Организации, соответствующие стандарту ISO/IEC 27001, могут быть сертифицированы аккредитованным сторонним аудитором, что свидетельствует об их стремлении к информационной безопасности и может использоваться в качестве эталона в своей отрасли.
Cloud Security Alliance (CSA) — это некоммерческая организация, цель которой — продвижение передовых методов обеспечения безопасности облачных вычислений. CSA разработала ряд стандартов и рекомендаций, которые могут помочь организациям обеспечить безопасность их облачных сред.
Один из ключевых стандартов, разработанных CSA, — матрица контроля облаков, представляющая собой набор средств контроля безопасности, которые организации могут использовать для оценки безопасности своих поставщиков облачных услуг. Матрица разделена на 13 областей, каждая из которых охватывает различные аспекты облачной безопасности, такие как управление инцидентами, контроль доступа и безопасность данных.
Еще один ключевой стандарт, разработанный CSA, — Cloud Security Alliance Cloud Trust Protocol (CSA-CTP). CSA-CTP — это основа для оценки безопасности облачных услуг, которая может использоваться для оценки безопасности облачных провайдеров в ряде областей, таких как управление инцидентами, контроль доступа и безопасность данных.
В дополнение к этим стандартам CSA предоставляет ряд инструментов и ресурсов, с помощью которых организации могут внедрять передовые методы обеспечения безопасности облачных вычислений. К ним относятся реестр CSA Security, Trust & Assurance Registry (STAR), который представляет собой общедоступную базу данных поставщиков облачных услуг, прошедших оценку безопасности, и руководство CSA Security Guidelines for Critical Areas of Focus in Cloud Computing, содержащее рекомендации по обеспечению безопасности различных аспектов облачных сред.