Контроль безопасности - Security controls

Контроль безопасности гарантии или контрмеры избегать, обнаруживать, противодействовать или минимизировать риски безопасности к физической собственности, информации, компьютерным системам или другим активам.[1] В области информационная безопасность, такой контроль защищает конфиденциальность, целостность и доступность информации.

Системы контроля могут называться рамками или стандартами. Платформы могут позволить организации согласованно управлять средствами управления безопасностью для различных типов активов.

Типы мер безопасности

Меры безопасности можно классифицировать по нескольким критериям. Например, в зависимости от времени, в которое они действуют, относительно инцидента безопасности:

  • Перед мероприятием превентивный контроль предназначены для предотвращения инцидента, например заблокировав неавторизованных злоумышленников;
  • Во время мероприятия детектив контролирует предназначены для идентификации и характеристики происходящего инцидента, например включив охранную сигнализацию и предупредив охранников или полицию;
  • После мероприятия корректирующие меры предназначены для ограничения степени любого ущерба, причиненного инцидентом, например максимально эффективно возвращая организацию к нормальному рабочему состоянию.

Их также можно классифицировать по своему характеру, например:

  • Физический контроль например заборы, двери, замки и огнетушители;
  • Процедурный контроль например процессы реагирования на инциденты, надзор со стороны руководства, осведомленность о безопасности и обучение;
  • Технический контроль например контроль аутентификации (входа) пользователей и логического доступа, антивирусное программное обеспечение, межсетевые экраны;
  • Правовой и нормативный контроль или контроль соответствия например законы, политики и положения о конфиденциальности.

Стандарты информационной безопасности и системы контроля

Многочисленные стандарты информационной безопасности продвигают передовые методы безопасности и определяют структуры или системы для структурирования анализа и проектирования для управления средствами контроля информационной безопасности. Некоторые из наиболее известных описаны ниже.

Международная организация по стандартизации

ISO / IEC 27001 определяет 114 элементов управления в 14 группах:

  • A.5: Политики информационной безопасности
  • A.6: Как организована информационная безопасность
  • A.7: Безопасность человеческих ресурсов - меры контроля, которые применяются до, во время или после приема на работу.
  • A.8: Управление активами
  • A.9: Контроль доступа и управление доступом пользователей
  • A.10: Криптографические технологии
  • A.11: Физическая безопасность объектов и оборудования организации
  • A.12: Операционная безопасность
  • A.13: Безопасная связь и передача данных
  • A.14: Безопасное приобретение, разработка и поддержка информационных систем
  • A.15: Безопасность поставщиков и третьих лиц
  • A.16: Управление инцидентами
  • A.17: Непрерывность бизнеса / аварийное восстановление (в той степени, в которой это влияет на информационную безопасность)
  • A.18: Соответствие - внутренним требованиям, таким как политики, и внешним требованиям, например законам.

Стандарты информационной безопасности федерального правительства США

В Федеральные стандарты обработки информации (FIPS) применяются ко всем правительственным учреждениям США. Однако некоторые системы национальной безопасности, подпадающие под действие Комитет по системам национальной безопасности управляются вне этих стандартов.

Федеральный стандарт обработки информации 200 (FIPS 200) «Минимальные требования безопасности для федеральной информации и информационных систем» определяет минимальные меры безопасности для федеральных информационных систем и процессы, с помощью которых происходит выбор мер безопасности на основе рисков. Каталог минимальных мер безопасности находится в NIST Специальная публикация СП 800-53.

FIPS 200 идентифицирует 17 широких контрольных семейств:

  1. AC Контроль доступа.
  2. Осведомленность и обучение.
  3. Аудит и подотчетность AU.
  4. Оценка безопасности и авторизация CA. (историческая аббревиатура)
  5. Управление конфигурацией CM.
  6. Планирование непредвиденных обстоятельств CP.
  7. Идентификация и аутентификация IA.
  8. Реагирование на инциденты IR.
  9. MA Обслуживание.
  10. MP Защита СМИ.
  11. PE Физическая защита и охрана окружающей среды.
  12. PL Планирование.
  13. PS Кадровая безопасность.
  14. Оценка рисков РА.
  15. Приобретение системы и услуг SA.
  16. Система SC и защита коммуникаций.
  17. Система SI и целостность информации.

Национальный институт стандартов и технологий

Структура кибербезопасности NIST

Фреймворк, основанный на зрелости, разделенный на пять функциональных областей и приблизительно 100 отдельных элементов управления в своем «ядре».

NIST SP-800-53

База данных из почти тысячи технических средств контроля, сгруппированных по семействам и перекрестным ссылкам.

  • Начиная с версии 3 800-53, были определены средства управления программой. Эти средства контроля не зависят от средств контроля системы, но необходимы для эффективной программы безопасности.
  • Начиная с версии 4 800-53, восемь семейств элементов управления конфиденциальностью были определены для согласования элементов управления безопасностью с требованиями федерального закона в отношении конфиденциальности.
  • Начиная с версии 5 800-53, элементы управления также обращаются к конфиденциальности данных, как это определено NIST Data Privacy Framework.

Комплекты коммерческого контроля

COBIT5

Проприетарный набор управления, опубликованный ISACA. [2]

  • Управление корпоративными ИТ
    • Оценка, управление и мониторинг (EDM) - 5 процессов
  • Управление корпоративной ИТ
    • Согласование, планирование и организация (APO) - 13 процессов
    • Сборка, приобретение и внедрение (BAI) - 10 процессов
    • Доставка, обслуживание и поддержка (DSS) - 6 процессов
    • Мониторинг, оценка и оценка (MEA) - 3 процесса

Топ-20 СНГ

Набор коммерчески лицензируемых элементов управления, опубликованный Центром интернет-безопасности.[3]

  • 20 элементов управления, разработанные сетью добровольцев и предоставленные для коммерческого использования в рамках лицензионного соглашения.

ts смягчение

Открытый (Creative Commons) и коммерчески лицензируемый набор элементов управления от Threat Sketch.[4]

  • Открыто: 50 средств защиты от угроз на деловом языке, сопоставленные со ста элементами управления NIST Cybersecurity Framework.
  • Открыто: 50 средств устранения рисков на деловом языке сопоставлены почти с тысячей элементов управления NIST SP-800-53.

Телекоммуникации

Основная статья: Служба безопасности (телекоммуникации)

В телекоммуникациях меры безопасности определяются как охранные услуги как часть Эталонная модель OSI

  • Рекомендация ITU-T X.800.
  • ISO ISO 7498-2

Они технически согласованы.[5][6] Эта модель широко известна.[7][8]

Ответственность за данные (юридическая, нормативная, комплаенс)

Ответственность за данные определяется пересечением риска безопасности и законов, устанавливающих стандарты обслуживания. Появляется несколько баз данных, которые помогают менеджерам по рискам исследовать законы, определяющие ответственность на уровне страны, провинции / штата и на местном уровне. В этих контрольных наборах соблюдение соответствующих законов является фактическим средством снижения риска.

  • Таблица уведомлений о нарушениях безопасности Perkins Coie: набор статей (по одной для каждого штата), в которых определяются требования к уведомлению о нарушениях безопасности в штатах США. [9]
  • Законы об уведомлении о нарушениях безопасности NCSL: список законодательных актов штата США, определяющих требования к уведомлению о нарушениях безопасности.[10]
  • юрисдикция ts: коммерческая платформа для исследования кибербезопасности, охватывающая более 380 законов штатов и федеральных законов США, которые влияют на кибербезопасность до и после нарушения. Юрисдикция ts также соответствует структуре кибербезопасности NIST.[11]

Структуры бизнес-контроля

Существует широкий спектр структур и стандартов, касающихся внутреннего и межбизнесового контроля, включая:

Смотрите также

Рекомендации

  1. ^ "Что такое меры безопасности?". www.ibm.com. Получено 2020-10-31.
  2. ^ «Структура COBIT | Риски и управление | Управление корпоративными ИТ - ISACA». cobitonline.isaca.org. Получено 2020-03-18.
  3. ^ "20 средств контроля и ресурсов СНГ". СНГ. Получено 2020-03-18.
  4. ^ "ts смягчение". Эскиз угрозы. Получено 2020-03-18.
  5. ^ X.800: Архитектура безопасности для взаимодействия открытых систем для приложений CCITT
  6. ^ ISO 7498-2 (Системы обработки информации - Взаимосвязь открытых систем - Базовая эталонная модель - Часть 2: Архитектура безопасности)
  7. ^ Уильям Столлингс, Crittografia e sicurezza delle reti, Seconda edizioneISBN  88-386-6377-7Итальянский перевод Луки Салгареллиди Криптография и сетевая безопасность, 4-е издание, Pearson2006.
  8. ^ Защита информационных и коммуникационных систем: принципы, технологии и приложения Стивен Фурнелл, Сократис Кацикас, Хавьер Лопес, Artech House, 2008 - 362 страницы
  9. ^ «Таблица уведомлений о нарушениях безопасности». Perkins Coie. Получено 2020-03-18.
  10. ^ «Законы об уведомлении о нарушениях безопасности». www.ncsl.org. Получено 2020-03-18.
  11. ^ "ts юрисдикция". Эскиз угрозы. Получено 2020-03-18.