Меры безопасности - это меры предосторожности или контрмеры для предотвращения, обнаружения, противодействия или минимизации рисков безопасности для физического имущества, информации, компьютерных систем или других активов. [1] В области информационной безопасности такие средства контроля защищают конфиденциальность, целостность и доступность информации .
Системы контроля могут называться рамками или стандартами. Платформы могут позволить организации согласованно управлять средствами управления безопасностью для различных типов активов.
Типы мер безопасности
Меры безопасности можно классифицировать по различным критериям. Например, средства контроля иногда классифицируются по тому, когда они действуют относительно нарушения безопасности:
- Перед событием превентивные меры предназначены для предотвращения инцидента, например, путем блокировки неавторизованных злоумышленников;
- Во время события средства детективного контроля предназначены для идентификации и характеристики происходящего инцидента, например, путем подачи сигнала тревоги о вторжении и оповещения охранников или полиции;
- После события корректирующие меры контроля предназначены для ограничения степени любого ущерба, причиненного инцидентом, например, путем восстановления организации до нормального рабочего состояния как можно более эффективно.
Меры безопасности также можно классифицировать по их характеристикам, например:
- Физический контроль, например заборы, двери, замки и огнетушители;
- Процедурный или административный контроль, например процессы реагирования на инциденты, надзор со стороны руководства, осведомленность о безопасности и обучение;
- Технические или логические элементы управления, например контроль аутентификации (входа в систему) и логического доступа пользователей, антивирусное программное обеспечение, межсетевые экраны;
- Правовой и нормативный контроль или контроль соответствия, например законы, политики и положения о конфиденциальности.
Дополнительные сведения о мерах безопасности в вычислениях см. В разделах Глубокая защита (вычисления) и Информационная безопасность.
Стандарты информационной безопасности и системы контроля
Многочисленные стандарты информационной безопасности продвигают передовые методы обеспечения безопасности и определяют структуры или системы для структурирования анализа и проектирования для управления средствами управления информационной безопасностью. Ниже приведены некоторые из наиболее известных стандартов.
Международная организация по стандартизации
ISO / IEC 27001 определяет 114 элементов управления в 14 группах:
- A.5: Политики информационной безопасности
- A.6: Как организована информационная безопасность
- A.7: Безопасность человеческих ресурсов - меры контроля, которые применяются до, во время или после приема на работу.
- A.8: Управление активами
- A.9: Контроль доступа и управление доступом пользователей
- A.10: Криптографические технологии
- A.11: Физическая безопасность объектов и оборудования организации
- A.12: Операционная безопасность
- A.13: Безопасная связь и передача данных
- A.14: Безопасное приобретение, разработка и поддержка информационных систем
- A.15: Безопасность поставщиков и третьих лиц
- A.16: Управление инцидентами
- A.17: Непрерывность бизнеса / аварийное восстановление (в той степени, в которой это влияет на информационную безопасность)
- A.18: Соответствие - внутренним требованиям, таким как политики, и внешним требованиям, например законам.
Стандарты информационной безопасности федерального правительства США
В Federal Information Processing стандарты (ФИПС) применяются ко всем правительственным учреждениям США. Однако управление некоторыми системами национальной безопасности, находящимися в ведении Комитета по системам национальной безопасности , не соответствует этим стандартам.
Федеральный стандарт обработки информации 200 (FIPS 200) «Минимальные требования безопасности для федеральных информационных и информационных систем» определяет минимальные меры безопасности для федеральных информационных систем и процессы, с помощью которых происходит выбор мер безопасности на основе рисков. Каталог минимальных мер безопасности можно найти в специальной публикации NIST SP 800-53 .
FIPS 200 идентифицирует 17 широких семейств контроля:
- AC Контроль доступа.
- Осведомленность и обучение.
- AU Audit and Accountability.
- Оценка безопасности и авторизация CA. (историческая аббревиатура)
- Управление конфигурацией CM.
- Планирование непредвиденных обстоятельств CP.
- Идентификация и аутентификация IA.
- Реагирование на инциденты IR.
- MA Обслуживание.
- MP Защита СМИ.
- PE Физическая защита и охрана окружающей среды.
- PL Планирование.
- PS Кадровая безопасность.
- Оценка рисков РА.
- Приобретение системы и услуг SA.
- Система SC и защита коммуникаций.
- Система SI и целостность информации.
Национальный институт стандартов и технологий
Структура кибербезопасности NIST
Фреймворк, основанный на зрелости, разделенный на пять функциональных областей и приблизительно 100 отдельных элементов управления в своем «ядре».
NIST SP-800-53
База данных из почти тысячи технических средств контроля, сгруппированных в семейства и перекрестные ссылки.
- Начиная с версии 3 800-53, были определены средства управления программой. Эти средства контроля не зависят от средств контроля системы, но необходимы для эффективной программы безопасности.
- Начиная с версии 4 800-53, восемь семейств элементов управления конфиденциальностью были определены для согласования элементов управления безопасностью с требованиями федерального закона в отношении конфиденциальности.
- Начиная с версии 5 800-53, элементы управления также касаются конфиденциальности данных, как это определено в NIST Data Privacy Framework.
Комплекты коммерческого контроля
COBIT5
Проприетарный набор управления, опубликованный ISACA. [2]
- Управление корпоративными ИТ
- Оценка, управление и мониторинг (EDM) - 5 процессов
- Управление ИТ на предприятии
- Согласование, планирование и организация (APO) - 13 процессов
- Сборка, приобретение и внедрение (BAI) - 10 процессов
- Доставка, обслуживание и поддержка (DSS) - 6 процессов
- Мониторинг, оценка и оценка (MEA) - 3 процесса
Топ-20 СНГ
Набор коммерчески лицензируемых элементов управления, опубликованный Центром интернет-безопасности. [3]
- 20 элементов управления, разработанные сетью добровольцев и предоставленные для коммерческого использования по лицензионному соглашению.
ts смягчение
Открытый (Creative Commons) и коммерчески лицензируемый набор элементов управления от Threat Sketch. [4]
- Открыто: 50 средств защиты от угроз на деловом языке, сопоставленные со ста элементами управления NIST Cybersecurity Framework.
- Открыто: 50 средств устранения рисков на деловом языке сопоставлены почти с тысячей элементов управления NIST SP-800-53.
Телекоммуникации
В телекоммуникациях меры безопасности определяются как услуги безопасности как часть эталонной модели OSI.
- Рекомендация ITU-T X.800.
- ISO ISO 7498-2
Они технически согласованы. [5] [6] Эта модель широко известна. [7] [8]
Ответственность за данные (юридическая, нормативная, комплаенс)
Ответственность за данные определяется пересечением риска безопасности и законов, устанавливающих стандарты заботы. Появляется несколько баз данных, которые помогают менеджерам по рискам исследовать законы, определяющие ответственность на уровне страны, провинции / штата и на местном уровне. В этих контрольных наборах соблюдение соответствующих законов является фактическим средством снижения риска.
- Таблица уведомлений о нарушениях безопасности Perkins Coie: набор статей (по одной для каждого штата), в которых определены требования к уведомлению о нарушениях безопасности в штатах США. [9]
- Законы об уведомлении о нарушениях безопасности NCSL: список законодательных актов штата США, определяющих требования к уведомлению о взломе данных. [10]
- юрисдикция ts: коммерческая платформа для исследования кибербезопасности, охватывающая более 380 законов штата и федеральных законов США, которые влияют на кибербезопасность до и после нарушения. Юрисдикция ts также соответствует структуре кибербезопасности NIST. [11]
Структуры бизнес-контроля
Существует широкий спектр структур и стандартов, касающихся внутреннего и межбизнесового контроля, в том числе:
- SSAE 16
- ISAE 3402
- Стандарт безопасности данных индустрии платежных карт
- Медицинское страхование Портативность и Акт об ответственности
- COBIT 4/5
- Топ-20 СНГ
- Структура кибербезопасности NIST
Смотрите также
Рекомендации
- ^ "Что такое меры безопасности?" . www.ibm.com . Проверено 31 октября 2020 .
- ^ «Структура COBIT | Риски и управление | Управление корпоративными ИТ - ISACA» . cobitonline.isaca.org . Проверено 18 марта 2020 .
- ^ «20 средств контроля и ресурсов СНГ» . СНГ . Проверено 18 марта 2020 .
- ^ "смягчение тс" . Эскиз угрозы . Проверено 18 марта 2020 .
- ^ X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
- ^ ISO 7498-2 (Системы обработки информации - Взаимосвязь открытых систем - Базовая эталонная модель - Часть 2: Архитектура безопасности)
- ^ Уильям Столлингс Crittografia e sicurezza delle reti Seconda edizione ISBN 88-386-6377-7 Итальянский перевод под руководством Луки Салгарелли Криптографии и сетевой безопасности, 4-е издание, Пирсон, 2006 г.
- ^ Защита информационных и коммуникационных систем: принципы, технологии и приложения Стивен Фурнелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 - 362 страницы
- ^ «Таблица уведомлений о нарушениях безопасности» . Perkins Coie . Проверено 18 марта 2020 .
- ^ «Законы об уведомлении о нарушениях безопасности» . www.ncsl.org . Проверено 18 марта 2020 .
- ^ "ts юрисдикция" . Эскиз угрозы . Проверено 18 марта 2020 .
- NIST SP 800-53, редакция 4
- Инструкция DoD 8500.2
- Условия FISMApedia