NIST опубликовал «Framework for Improving Critical Infrastructure Cybersecurity» по защите критически важных объектов

На днях вышло сразу два документа от совершенно разных организаций. Российская Федеральная служба по техническому и экспортному контролю представила проект документа  «Требования к обеспечению защиты информации в автоматизированных системах управления производственными технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей». С документом можно ознакомиться здесь.

3

Американский национальный институт стандартов и технологий NIST опубликовал первую версию методики по повышению уровня информационной безопасности критически важных объектов — «Framework for Improving Critical Infrastructure Cybersecurity».

Документ является следствием указа Б.Обамы #13636 «Повышение кибербезопасности критической инфраструктуры», который продвигает ряд норм информационной безопасности, способствующих экономической эффективности и развитию США. Достигаться такая эффективность будет благодаря обеспечению информационной безопасности бизнеса, неприкосновенности частной жизни и гражданских свобод. Государство и частные организации объединят усилия и будут двигаться, отталкиваясь от потребностей бизнеса, без возлагания на последнего дополнительной нормативки. В общем, все очень интересно и занимательно.

Итак,

прежде всего, документ фокусируется на использовании процесса управления рисками предприятий и состоит из трех частей:

  • Framework Core — основа;
  • Framework Profile — профиль уровня защищенности;
  • Framework Implementation Tiers — уровни реализации мер защиты информации.

Реализация такого подхода позволит применять лучшие практики и принципы управления рисками для организаций, независимо от их статуса или размера. Кроме этого, документ позволяет собрать требования и рекомендации международных стандартов в одно целое. Разработчики понимают, что не существует единого подхода к обеспечению информационной безопасности, поэтому организациям предоставляется выбор мер и количества вливаний денежных средств в систему обеспечения информационной безопасности с целью минимизации расходов.

Под критически важной инфраструктурой подразумевается совокупность систем и активов, настолько жизненно важных для государства, что уничтожение таких систем и активов будет иметь пагубные последствия для национальной безопасности. КВО включает в себя государственных и частных владельцев, операторов и других субъектов имеющей к ней отношение. Все вовлеченные в деятельность объекта несут коллективную ответственность.

Общее правила повышения уровня защищенности не отличаются от классики и прежде всего это:

  1. Выявление требуемого уровня защищенности объекта.
  2. Выбор защитных мер и общего направления для улучшения и поддержания непрерывного цикла обеспечения информационной безопасности.
  3. Оценка результативности выбранных мер.
  4. Взаимодействие и обмен информацией между организациями.

Обзор фреймворка

Framework Core представляет собой набор отраслевых стандартов, руководящих документов, позволяющих внедрять общение требования к обеспечению ИБ в рамках всей организации, начиная от нижнего исполнительного уровня, заканчивая операционным.

Основные функциями ядра являются:

  • Идентификация. Определение стоимости активов, уровня риска для системы и возможностей обеспечения ИБ.
  • Защита. Внедрение и разработка средств защиты информации (СЗИ) в объект с целью обеспечения триады целей ИБ.
  • Обнаружение. Разработка и внедрение соответствующих регламентов по выявлению инцидентов.
  • Ответ. Разработка и внедрения регламента действий в отношении выявленного инцидента.
  • Восстановление. Разработка плана восстановления КВО после сбоя.

Само ядро представлено в виде таблицы, как в приказах ФСТЭК #17 и #21.

1

Все довольно просто и понятно:

  1. Функции ядра, позволяющие поддерживать защищенности на заданном уровне. Это вышеприведенные: идентификация, защита, обнаружение, ответ, восстановление.
  2. Мера обеспечения безопасности. Например: управление активами, управление доступом.
  3. Содержание меры. Дальнейшей разделение на организационно/техническую защиту информации.
  4. Ссылки на стандарты.

Framework Implementation Tiers — уровни реализации мер защиты информации

Уровни реализации позволяют увидеть, как организация управляет рискам. Документ определяет 4 уровня защищенности КВО, первый уровень — самый слабый, четвертый соотвественно самый защищенный. Уровни формируют строгость обеспечения процессов ИБ в организации.

Как делятся уровни.

Уровень 1. Частичное управление рисками:

  • Процесс управления рисками. Организационные меры управления рисками формализованы и отчасти выполняются. Приоритеты развития и управлением ИБ не зависят от выявления рисков.
  • Комплексная программа по управлению рисками. Риск незначительно осознается на организационном уровне в масштабе всей организации.
  • Взаимодействие. Организация не учавствует в координации действий с другими подразделениями.

Уровень 2. Информированнность о рисках:

  • Процесс управления рисками. Процесс управления рисками утвержден руководством организации, но не установлен в качестве общей политики безопасности. Определение приоритетов поддержания информационной безопасности зависит от текущих угроз организации.
  • Комплексная программа по управлению рисками. Существует на организационном уровне, но процедуры управления рисками не установлены. Риски определены, персонал обучен. Информационная безопасность обеспечивается на «неформальной» основе.
  • Взаимодействие. Организация принимает участие в взаимодействии, но не имеет возможности обмениваться актуальной информацией.

Уровень 3.  «Обычный»:

  • Процесс управления рисками.  Практика управления рисками утверждена в политике организации. Организационные меры ИБ постоянно измеются и допольнаяются на основе требований бизнеса и ландшафта внешней/внутренней среды предприятия.
  • Комплексная программа по управлению рисками. Существует единый подход в рамках всей организации: определены и корректируются риск-ориентированные политики ИБ, процессы управления рисками. Персонал обучен.
  • Взаимодействие. Организация понимает важность информации о рисках, получаемой от партнеров, что позволяет обеспечивать сотрудничество с другими организациями и вырабатывать управленческие решения в ответ на инциденты.
Уровень 4. Адаптивный:
  • Процесс управления рисками.  Организация адаптирует своим методы обеспечения ИБ на основе сведений полученных из расследования инцидентов и вероятностных оценок за предыдущие и текущие периоды жизненного цикла системы. Безопасность является непрерывны процессом совершенствования, позволяющим своевременно реагировать на изменение и возникновение угроз.
  • Комплексная программа по управлению рисками.  В рамках организации существует подход к управлению рисками ИБ, применяются риск-ориентированные стратегии, процессы и процедуры. Управление ИБ является частью корпоративной культуры.
  • Взаимодействие.  Организация активно делится информацией о рисках с партнерами, что гарантирует ей доступ к самой свежей и актуальной информации в сфере ИБ.

Framework Profile — профиль уровня защищенности, рассматривается как набор стандартов, практик и приемов из Framework Core. Такие профили могут быть использованы для сравнения уровней защищенности и определения необходимого уровня при изменении внешней/внутренней среды организации.

Применение профилей позволяет создать дорожну карту для снижения рисков и повышения уровня ИБ, учитывая организационные особенности, юридические/законодательные требования, отраслевые стандарты и приоритетные риски. Учитывая размер и сложности управления, организации могут иметь несколько профилей в соответствии с их индивидуальными потребностями.

Приведенный ниже рисунок описывает общие процессы обеспечения информационной безопасности в критически важных объектах:

2

На верхнем уровне занимаются управлением рисками, нижний уровень создает профили защиты и все это сливается воедино на уровне управления процессами.

План защиты критически важных объектов.

Стратегия защиты тоже не сильно отличается от уже известных и состоит из семи шагов:

Шаг 1. Выявление приоритета. Организация определяет цель для своего бизнеса, и исходя из этого принимает стратегические решения по реализации ИБ.

Шаг 2. Построение основы. После того, как сфера применения ИБ была определена, следуют стандартные шаги: ТЗ, выявление и оценка стоимости активов, уязвимостей, рисков.

Шаг 3. Создание текущего профиля защищенности. Организация проводит самооценку, которая определяет текущий уровень защищенности.

Шаг 4. Оценка риска. Проведение оценки риска. Старый добрый 800-53.

Шаг 5. Создание целевого профиля уровня защищенности организации. Анализируются особенности организации, выявляются дополнительные категории рисков.

Шаг 6. Создание дорожной карты для достижения заданного уровня ИБ через анализ инцидентов, просчетов и определения приоритетных направлений развития ИБ.

Шаг 7. Достижение и поддержание уровня защищенности.

Вот такой довольно интересный документ получился у NIST. Более подробно с ним можно ознакомиться тут.

В заключении хотелось бы отметить, что документ достаточно сырой, как никак первая версия.

Первое, что мне не понравилось это упор на риск-ориентированный процесс. Оценка риска это замечательно, но вся проблема в том, что «лучшая методика оценки риска это методика, которая устраивает обоих участников».

Второе, это различия между 3 и 4 уровнями защищенности. По-моему скромному мнению третий уровень нужно выкинуть, как и разницу между показателями «0,95-1,0» в СТО БР ИБСС ЦБ РФ.  И кстати, когда я с утра краем глаза просмотрел документ ФСТЭК, то они тоже решили остановиться на трех уровнях защищенности и это разумно.

Третье, взаимодействие между организациями. Я не знаю, как в США обстоят дела обменом  конфиденциальной информацией, но все же стоит прописать, чем можно обмениваться,  а чем нельзя.

Из понравившегося могу отметить разницу менталитетов в подходе государства к обеспечению ИБ. В этой стране учитываются только «суверенные» интересы, читай режима. Интересы бизнеса, общества и построение диалога не волнует никого, за исключением исправляющегося  ФСТЭКа.

Реклама
NIST опубликовал «Framework for Improving Critical Infrastructure Cybersecurity» по защите критически важных объектов

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s