Контроль безопасности
Меры защиты системы

Средства контроля безопасности или меры безопасности представляют собой защитные меры или контрмеры , позволяющие избегать, обнаруживать, противодействовать или минимизировать риски безопасности для физической собственности, информации, компьютерных систем или других активов. [1] В области информационной безопасности такие средства контроля защищают конфиденциальность, целостность и доступность информации .

Системы контроля можно называть фреймворками или стандартами. Фреймворки могут позволить организации управлять контролем безопасности для различных типов активов с согласованностью.

Типы контроля безопасности

Средства контроля безопасности можно классифицировать по различным критериям. Например, средства контроля можно классифицировать по тому, как/когда/где они действуют относительно нарушения безопасности (иногда их называют типами контроля ):

  • Профилактический контроль направлен на предотвращение возникновения инцидента, например, путем блокировки доступа несанкционированных злоумышленников;
  • Детективные средства контроля предназначены для идентификации, характеристики и регистрации инцидента, например, изоляции подозрительного поведения злоумышленника в сети; [2]
  • Компенсационные меры контроля смягчают текущий ущерб от активного инцидента, например, отключение системы при обнаружении вредоносного ПО .
  • После события корректирующие меры контроля направлены на устранение ущерба, причиненного инцидентом, например, путем максимально эффективного восстановления нормального рабочего состояния организации.

Меры безопасности также можно классифицировать в соответствии с реализацией контроля (иногда их называют категориями контроля ), например:

Стандарты информационной безопасности и системы контроля

Многочисленные стандарты информационной безопасности продвигают хорошие практики безопасности и определяют рамки или системы для структурирования анализа и проектирования для управления элементами управления информационной безопасностью. Некоторые из наиболее известных стандартов описаны ниже.

Международная организация по стандартизации

Стандарт ISO/IEC 27001:2022 был выпущен в октябре 2022 года. Все организации, сертифицированные по ISO 27001:2013, обязаны перейти на новую версию стандарта в течение 3 лет (до октября 2025 года).

В версии Стандарта 2022 года указаны 93 элемента управления, разделенные на 4 группы:

  • A.5: Организационный контроль
  • A.6: Люди контролируют
  • A.7: Физический контроль
  • A.8: Технологический контроль

Эти элементы управления сгруппированы по эксплуатационным возможностям следующим образом:

  • Управление
  • Управление активами
  • Защита информации
  • Безопасность человеческих ресурсов
  • Физическая безопасность
  • Безопасность системы и сети
  • Безопасность приложений
  • Безопасная конфигурация
  • Управление идентификацией и доступом
  • Управление угрозами и уязвимостями
  • Непрерывность
  • Безопасность взаимоотношений с поставщиками
  • Правовые и нормативно-правовые требования
  • Управление событиями информационной безопасности; а также
  • Информационная_безопасность_гарантия

В предыдущей версии стандарта ISO/IEC 27001 было указано 114 элементов управления в 14 группах:

  • A.5: Политики информационной безопасности
  • A.6: Как организована информационная безопасность
  • A.7: Безопасность кадровых ресурсов — меры контроля, применяемые до, во время или после трудоустройства.
  • A.8: Управление активами
  • A.9: Контроль доступа и управление доступом пользователей
  • A.10: Криптографические технологии
  • A.11: Физическая безопасность объектов и оборудования организации
  • A.12: Оперативная безопасность
  • A.13: Безопасная связь и передача данных
  • A.14: Безопасное приобретение, разработка и поддержка информационных систем
  • A.15: Безопасность поставщиков и третьих лиц
  • A.16: Управление инцидентами
  • A.17: Непрерывность бизнеса/аварийное восстановление (в той мере, в которой это влияет на информационную безопасность)
  • A.18: Соответствие — внутренним требованиям, таким как политики, и внешним требованиям, таким как законы.

Стандарты информационной безопасности федерального правительства США

Федеральные стандарты обработки информации (FIPS) применяются ко всем правительственным агентствам США. Однако некоторые системы национальной безопасности, находящиеся в ведении Комитета по системам национальной безопасности , управляются вне этих стандартов.

Федеральный стандарт обработки информации 200 (FIPS 200), «Минимальные требования безопасности для федеральной информации и информационных систем», определяет минимальные меры безопасности для федеральных информационных систем и процессы, посредством которых происходит выбор мер безопасности на основе риска. Каталог минимальных мер безопасности находится в Специальной публикации NIST SP 800-53.

FIPS 200 определяет 17 широких семейств контроля:

  • Контроль доступа к переменному току
  • Осведомленность и обучение AT
  • Аудит и подотчетность AU
  • Оценка безопасности и авторизация CA (историческое сокращение)
  • Управление конфигурацией CM
  • Планирование действий в чрезвычайных ситуациях CP
  • Идентификация и аутентификация IA
  • Реагирование на инциденты IR
  • Техническое обслуживание МА
  • Защита СМИ депутата
  • Физическая и экологическая защита PE
  • Планирование ПЛ
  • PS Персональная безопасность
  • Оценка риска РА
  • Приобретение систем и услуг SA
  • Защита систем и коммуникаций SC
  • Система СИ и целостность информации

Национальный институт стандартов и технологий

Структура кибербезопасности NIST

Структура, основанная на зрелости, разделена на пять функциональных областей и приблизительно на 100 отдельных элементов управления в ее «ядре».

НИСТ SP-800-53

База данных, содержащая около тысячи технических средств контроля, сгруппированных в семейства и перекрестные ссылки.

  • Начиная с Revision 3 of 800-53, были определены элементы управления программами. Эти элементы управления независимы от системных элементов управления, но необходимы для эффективной программы безопасности.
  • Начиная с 4-й редакции 800-53, было определено восемь групп элементов управления конфиденциальностью, чтобы привести элементы управления безопасностью в соответствие с требованиями федерального законодательства в отношении конфиденциальности.
  • Начиная с 5-й редакции 800-53, элементы управления также охватывают вопросы конфиденциальности данных, как определено в Рамках конфиденциальности данных NIST.

Коммерческие комплекты управления

COBIT5

Запатентованный набор элементов управления, опубликованный ISACA. [3]

  • Управление корпоративными ИТ
    • Оценка, руководство и мониторинг (EDM) – 5 процессов
  • Управление корпоративными ИТ
    • Согласование, планирование и организация (APO) – 13 процессов
    • Создание, приобретение и внедрение (BAI) – 10 процессов
    • Доставка, обслуживание и поддержка (DSS) – 6 процессов
    • Мониторинг, оценка и анализ (MEA) - 3 процесса

Контроль СНГ (CIS 18)

Ранее известные как критические элементы управления безопасностью SANS, теперь официально называются критическими элементами управления безопасностью CIS (элементы управления COS). [4] Элементы управления CIS делятся на 18 элементов управления.

  • CIS Control 1: Инвентаризация и контроль активов предприятия
  • CIS Control 2: Инвентаризация и контроль программных активов
  • CIS Control 3: Защита данных
  • CIS Control 4: Безопасная конфигурация корпоративных активов и программного обеспечения
  • CIS Control 5: Управление счетами
  • CIS Control 6: Управление контролем доступа
  • CIS Control 7: Непрерывное управление уязвимостями
  • CIS Control 8: Управление журналом аудита
  • CIS Control 9: Защита электронной почты и веб-браузера
  • CIS Control 10: Защита от вредоносных программ
  • CIS Control 11: Восстановление данных
  • CIS Control 12: Управление сетевой инфраструктурой
  • CIS Control 13: Мониторинг и защита сети
  • CIS Control 14: Обучение навыкам и осведомленности в области безопасности
  • CIS Control 15: Управление поставщиками услуг
  • CIS Control 16: Безопасность прикладного программного обеспечения
  • CIS Control 17: Управление реагированием на инциденты
  • CIS Control 18: Тестирование на проникновение

Элементы управления далее делятся на группы внедрения (GI), которые являются рекомендуемым руководством для определения приоритетов внедрения элементов управления CIS. [5]

Телекоммуникации

В телекоммуникациях средства контроля безопасности определяются как службы безопасности в рамках модели OSI :

  • Рекомендация МСЭ-Т X.800.
  • ИСО ИСО 7498-2

Они технически выровнены. [6] [7] Эта модель широко признана. [8] [9]

Ответственность за данные (юридическая, нормативная, соответствие)

Пересечение риска безопасности и законов, устанавливающих стандарты ухода, — это то, где определяется ответственность за данные. Появляется несколько баз данных, которые помогают менеджерам по рискам исследовать законы, определяющие ответственность на уровне страны, провинции/штата и на местном уровне. В этих контрольных наборах соблюдение соответствующих законов является фактическим смягчителем риска.

  • Таблица уведомлений о нарушениях безопасности Perkins Coie: набор статей (по одной на штат), определяющих требования к уведомлению об утечке данных в разных штатах США. [10]
  • Законы NCSL об уведомлении о нарушении безопасности: список законов штатов США, определяющих требования к уведомлению об утечке данных. [11]
  • TS юрисдикция: Коммерческая исследовательская платформа по кибербезопасности, охватывающая более 380 государственных и федеральных законов США, которые влияют на кибербезопасность до и после нарушения. TS юрисдикция также соответствует NIST Cybersecurity Framework. [12]

Структуры бизнес-контроля

Существует широкий спектр структур и стандартов, рассматривающих внутренний бизнес и межкорпоративный контроль, в том числе:

Смотрите также

Ссылки

  1. ^ «Что такое средства контроля безопасности?». www.ibm.com . Получено 31 октября 2020 г. .
  2. ^ "Детективный контроль". AWS . 12 декабря 2022 г.
  3. ^ "COBIT Framework | Риски и управление | Управление корпоративными ИТ - ISACA". cobitonline.isaca.org . Получено 2020-03-18 .
  4. ^ "18 элементов управления CIS". CIS . Получено 2022-11-08 .
  5. ^ "CIS Critical Security Controls Implementation Groups". CIS . Получено 2022-11-08 .
  6. ^ X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
  7. ^ ISO 7498-2 (Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура безопасности)
  8. ^ Уильям Столлингс Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Traduzione Italiana a cura di Luca Salgarelli di Cryptography and Network Security, 4 издание Pearson, 2006 г. 
  9. ^ Защита информации и коммуникационных систем: принципы, технологии и приложения Стивен Фернелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 - 362 страницы
  10. ^ "Таблица уведомлений о нарушении безопасности". Perkins Coie . Получено 2020-03-18 .
  11. ^ "Законы об уведомлении о нарушении безопасности". www.ncsl.org . Получено 18.03.2020 .
  12. ^ "ts юрисдикция". Эскиз угрозы . Получено 2020-03-18 .
  • NIST SP 800-53, редакция 4
  • Инструкция МО 8500.2
  • Термины FISMApedia
Взято с "https://en.wikipedia.org/w/index.php?title=Security_controls&oldid=1256814365"