Обзор международных стандартов в области ИБ

Введение

В настоящий момент существует большое количество подходов к обеспечению и управлению информационной безопасностью. Наиболее эффективные из них формализованы в стандарты.

Международные стандарты и методологии в области ИБ и управления ИТ являются ориентиром при построении информационной безопасности, а также помогают в решении связанных с этой деятельностью задач всех уровней, как стратегических и тактических, так и операционных. Попробуем разобраться в идеях популярных зарубежных стандартов и в том, как они могут применяться в российской практике.

Зачем нужны ИБ-стандарты

Каждому специалисту, имеющему отношение к информационной безопасности, желательно ознакомиться с наиболее известными методологиями в области ИБ, а также научиться применять их на практике. Изучение лучших практик дает возможность узнать:

• терминологию в сфере ИБ;
• общие подходы к построению ИБ;
• общепринятые процессы ИБ и рекомендации по их выстраиванию;
• конкретные меры защиты — контроли ИБ;
• роли и зоны ответственности при построении процессов ИБ;
• подходы к измерению зрелости процессов ИБ;
• и многое другое.

Международные ИБ-стандарты развиваются годами, и за это время успели усовершенствоваться и вобрать в себя лучший опыт практикующих специалистов, в том числе лучшие практики в области развития ИТ.

Еще одним преимуществом изучения стандартов является возможность продуктивного взаимодействия в сообществе ИБ-специалистов — общепризнанные стандарты международного уровня позволяют им общаться между собой и с внутренними подразделениями компании на одном языке с использованием устоявшихся терминов и определений. В том числе это помогает обосновывать руководству необходимость тех или иных ИБ-мер формулировками, понятными бизнесу. Стоит отметить, что ИБ всегда идет бок о бок с ИТ, и для повышения эффективности работы очень важно уметь устанавливать коммуникации с ИТ. В этом ИБ-специалисту помогает изучение таких стандартов, как ITIL и COBIT.

Какие бывают ИБ-стандарты

Существует множество систем взглядов и разных способов группировки стандартов. Методы классификации различаются по целям и задачам применения.

Рассмотрим стандарты с прикладной и процессной точек зрения. Стандарты можно поделить на:

1. Технические или контрольные (control), регламентирующие различные аспекты реализации мер защиты.
2. Процессно-ориентированные, описывающие поход к выстраиванию процессов и построению ИБ в целом.

Технические стандарты помогают провести выстраивание технической защиты информации — выбрать необходимый комплекс защитных мер и провести их грамотную настройку.

Процессно-ориентированные стандарты описывают поход к выстраиванию отдельных процессов.

Если процессно-ориентированные стандарты позволяют ответить на вопросы «что делать?», то технические дают практические рекомендации и отвечают на вопрос «как это реализовать?».

К процессно-ориентированным стандартам относятся: серия ISO/IEC 27XXX, руководство ITIL, методология COBIT и так далее.

В части технических стандартов стоит отметить проект OWASP top 10, CIS Controls, а также CIS Benchmarks, которые содержат детальную информацию по обеспечению безопасности ИТ-элементов инфраструктуры, что помогает противодействовать широкому спектру угроз.

Тем не менее, не всегда стоит однозначно делить стандарты на категории. Один стандарт может агрегировать в себе информацию по нескольким направлениям. Так, например, стандарт PCI DSS (стандарт безопасности данных индустрии платежных карт) отражает комплексный подход к обеспечению ИБ и содержит как требования к управлению безопасностью, правилам и процедурам, так и большой перечень технических требований к критически важным мерам защиты.

Краткий обзор ИБ-стандартов

COBIT

Международная ассоциация ISACA (Information Systems Audit and Control Association), известная разработкой стандартов по управлению ИТ в корпоративной среде и проводимыми сертификациями (например, CISA, CISM, CRISC), и Институт руководства ИТ (IT Governance Institute — ITGI) совместно разработали подход к управлению информационными технологиями. В 1996 году на его основе организация ISACF выпустила первую версию стандарта COBIT. С течением времени и с развитием подходов к управлению ИТ концепция COBIT пересматривалась и расширялась. Сегодня самой новой версией методологии является COBIT 2019, ставшая продуктом эволюции пятой версии стандарта (пересмотр состоялся в декабре 2018 года). COBIT 2019 описывает набор процессов, лучших практик и метрик для выстраивания эффективного управления и контроля, а также достижения максимальной выгоды от использования ИТ.

Основой стандарта являются 40 высокоуровневых целей контроля, сгруппированных в четыре домена, два из которых посвящены информационной безопасности):

1. «COBIT 2019 Framework: Introduction and Methodology» — «COBIT 2019 Бизнес-модель: Введение и методология».
2. «COBIT 2019 Framework: Governance and Management Objectives» — «COBIT 2019 Бизнес-модель: Задачи руководства и управления.
3. «COBIT 2019 DESIGN GUIDE: Designing an Information and Technology Governance Solution — «Проектирование решения по руководству информацией и технологиями».
4. «COBIT 2019 IMPLEMENTATION GUIDE: Implementing and Optimizing an Information and Technology Governance Solution» — «Внедрение и оптимизация решения по руководству информацией и технологиями».

Таким образом, стандарт охватывает всю деятельность компании и позволяет широко взглянуть на управление ИТ и ИБ. Стандарт носит высокоуровневый характер, то есть говорит, что должно быть достигнуто, но не объясняет, как. С помощью принципов COBIT 2019 можно минимизировать риски и контролировать возврат инвестиций в ИТ и средства информационной защиты.

ITIL и ITSM

Библиотека инфраструктуры информационных технологий или ITIL (The IT Infrastructure Library) — это набор публикаций (библиотека), описывающий общие принципы эффективного использования ИТ-сервисов. Библиотека ITIL применяется для практического внедрения подходов IT Service Management (ITSM) — проектирования сервисов и ИТ-инфраструктуры компании, а также обеспечения их связности.

ITIL можно рассматривать в том числе с точки зрения информационной безопасности, так как для успешного использования ИТ и поддерживаемых услуг необходимо обеспечивать доступность, целостность и конфиденциальность ИТ-инфраструктуры. Это достигается правильным управлением ИТ-безопасностью. Библиотека содержит раздел, посвященный вопросам безопасности в структуре процессов ITIL. В материалах ITIL не прописаны конкретные требования к средствам защиты, а лишь дается описание общей организации безопасной работы ИТ-сервисов. В библиотеке можно найти как основные принципы выстраивания самого процесса управления ИБ, так и ключевые рекомендации по поддержанию СУИБ — Системы управления информационной безопасностью (Information Security Management System или ISMS). Если COBIT определяет ИТ-цели, то ITIL указывает шаги на уровне процессов. Кроме того, библиотека содержит рекомендации по выстраиванию смежных процессов, например, по управлению инцидентами, что позволяет комплексно взглянуть на выстраивание процессов и их интеграцию в ИТ-среду. Библиотека ITIL полезна специалистам, в задачи которых входит выстраивание процесса управления ИТ-услугами и интеграция ИБ в этот подход. Знание документа позволяет им разговаривать с ИТ-службой на одном языке — языке ИТ-сервисов.

ISO

Серия ISO/IEC 27XXX

Наиболее известным и популярным набором стандартов среди как зарубежных, так и российских ИБ-специалистов, к которому обращаются в первую очередь при внедрении СУИБ, являются документы из серии ИБ-стандартов ISO/IEC 27XXX.

Самый известный стандарт серии — ISO/IEC 27001:2013, определяющий аспекты менеджмента информационной безопасности и содержащий лучшие практики по выстраиванию процессов для повышения эффективности управления ИБ. Стандарт декларирует риск-ориентированный подход, который позволяет выбрать необходимые меры и средства защиты, наилучшим образом соответствующие потребностям и интересам бизнеса. По результатам внедрения стандарта ISO/IEC 27001:2013 компания может пройти сертификацию. Так же, как и концепция ITIL, ISO/IEC 27001:2013 в качестве модели управления качеством берет за основу Цикл Деминга-Шухарта PDCA (англ. «Plan-Do-Check-Act» — «планирование-действие-проверка-корректировка»), что означает непрерывное совершенствование ИБ-процессов.

Стандарт ISO/IEC 27001:2013 состоит из двух частей:

• Описание подхода к созданию СУИБ;
• Приложение А (требования ИБ и средства их реализации , структурированные по разделам).

Стандарт ISO/IEC 27001:2013 имеет российский аналог ГОСТ Р ИСО/МЭК 27001.

Также специалисты часто обращаются к стандарту ISO/IEC 27002:2013 (ранее выходил под номером ISO/IEC 17799), более подробно раскрывающему высокоуровневые требования ISO/IEC 27001:2013 к выстраиванию процессов в СУИБ. Документ описывает рекомендуемые практические меры в области управления информационной безопасностью.

ISO/IEC 27000:2013 Information technology. Security techniques. Information security management systems. Overview and vocabulary	Термины и определения.
ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements	Системы обеспечения информационной безопасности. Документ описывает требования к СУИБ и средства их реализации.
ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security management	Методы и средства обеспечения информационной безопасности. Стандарт разъясняет практические аспекты управления ИБ с более детальным описанием средств реализации, приведенных в ISO/IEC 27001:2013.
ISO/IEC 27003:2017 Information technology. Security techniques. Information security management system implementation guidance	Реализация систем менеджмента информационной безопасности. Руководство по реализации СУИБ, описывающее все этапы внедрения.
ISO/IEC 27004:2016 Information technology. Security techniques. Information security management. Measurement	Измерение эффективности информационной безопасности. Описывает подход к использованию метрик для оценки эффективности СУИБ. Стандарт применим к компаниям, достигшим четвертого (управляемого) уровня зрелости процессов ИБ согласно CMMI.
ISO/IEC 27005:2018 Information technology. Security techniques. Information security risk management (также можно обратиться к ISO 31000:2018 — Risk management)	Менеджмент риска информационной безопасности. Стандарт предназначен для определения в компании подхода к менеджменту рисков.
ISO/IEC 27035:2016 Information technology. Security techniques. Information security incident management (Part 1 & Part 2)	Управление инцидентами и событиями ИБ. Стандарт содержит руководящие указания по планированию и подготовке к реагированию на инциденты.

Полный перечень стандартов серии можно найти на сайте Международной организации по стандартизации https://www.iso.org/ru/home.html.

ISO/IEC 15408

Еще одним стандартом, применяемым зарубежными ИБ-специалистами, является ISO 15408, состоящий из трех частей:

1. ISO/IEC 15408-1:2009 Evaluation criteria for IT security — Part 1: Introduction and general model — «Общие критерии оценки безопасности информационных технологий».
2. ISO/IEC 15408-2:2008 Evaluation criteria for IT security — Part 2: Security functional components model — «Функциональные компоненты безопасности».
3. ISO/IEC 15408-3:2008 Evaluation criteria for IT security — Part 3: Security assurance components — «Компоненты доверия к безопасности».

Первая часть стандарта содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (по аналогии с документом «Критерии оценки пригодности компьютерных систем Министерства обороны» (Department of Defence Trusted Computer System Evaluation Criteria - TCSEC), также известным как «Оранжевая книга» из стандартов «Радужной серии» Министерства обороны США). Стандарт ISO/IEC 15408-1:2009 определяет полный перечень объектов анализа и требований к ним, не заостряя внимания на методах создания, управления и оценки системы безопасности.

Вторая часть приводит требования к функциональности средств защиты, которые могут быть использованы при анализе защищенности для оценки полноты реализованных функций безопасности.

Третья часть серии содержит обоснования угроз, политик и требований. Стандарт определяет компоненты доверия к безопасности, каталогизирует наборы компонентов и классов доверия. ISO/IEC 15408-3:2008 включает в себя оценочные уровни доверия, определяющие шкалу измерения и компоненты доверия, а также критерии оценки профилей защиты и заданий безопасности.

В целом эти стандарты содержат техническую часть, не акцентируя внимание на вопросах управления информационной безопасностью.

На основании данного стандарта в свое время был разработан руководящий документ ФСТЭК (Приказ председателя Гостехкомиссии России от 19 июня 2002 г. № 187).

NIST

NIST — National Institute of Standards and Technology — американский национальный институт стандартизации, аналог отечественного Госстандарта. В состав института входит Центр по компьютерной безопасности, который публикует с начала 1990-х годов Стандарты (FIPS), а также детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности.

Для рекомендаций в области ИБ (Special Publications) в NIST выделили специальную серию с кодом 800, состоящую из десятков рекомендаций.

Серия содержит документы, описывающие подходы к управлению информационной безопасностью, и освещает технические вопросы ее обеспечения (обеспечение безопасности мобильных устройств, защита облачных вычислений, требования к аутентификации, удаленному доступу и т. д.).

Ниже приведен краткий перечень наиболее популярных документов:

NIST SP 800-53	Контроль безопасности и конфиденциальности для федеральных информационных систем и организаций
NIST SP 800-50	Создание программы повышения осведомленности в области безопасности ИТ
NIST SP 800-40	Управление уязвимостями
NIST SP 800-53 A	Измерение эффективности информационной безопасности
NIST SP 800-37 / NIST SP 800-39 / NIST SP 800-30	Менеджмент рисков
NIST SP 800-61 / NIST SP 800-86	Управление инцидентами

Одной из самых известных публикаций является стандарт NIST SP 800-53 «Security and Privacy Controls for Federal Information Systems and Organizations», содержащий описание средств реализации требований ИБ и рекомендации по их применению. В стандарте дается более подробное описание средств реализации в сравнении с документом более высокого уровня ISO/IEC 27001 Приложение А. Так же, как и в ISO, средства реализации в NIST SP 800-53 разбиты на домены, соответствующие различным областям обеспечения ИБ. Подобный подход можно найти и в российских стандартах: для Приказов № 17 и 21 ФСТЭК России сформировала группу мер и разработала к ним требования и процедуры.

Еще одним известным у специалистов документом является NIST 800-30, определяющий подходы к организации деятельности по управлению рисками ИБ. Этот документ часто рассматривают в паре с ISO/IEC 27005:2018, который (как и все документы серии) носит более высокоуровневый характер. В отличие от ISO/IEC 27005:2018, документ NIST содержит более развернутые описания и рекомендации по применению.

SANS. CIS 20

SANS — организация по обучению и сертификации в области ИБ, наиболее известна своими руководствами по безопасной настройке различных систем (Benchmarks) и перечнем ключевых мер защиты Top 20 Critical Security Controls (CSC), включающим 20 рекомендаций по защите ИТ-инфраструктуры. ИБ-специалисты могут использовать этот документ как контрольный список при проверке безопасности систем.

Международное ИТ-сообщество CIS (Center for Internet Security) регулярно обновляет рекомендации с лучшими практиками мер защиты от актуальных ИБ-угроз. Меры разделены на три группы реализации в зависимости от особенностей организации. Наиболее удобным является ранжирование CIS Controls — порядок реализации мер, начиная с наиболее важных.

Руководства CIS Benchmarks — очень полезный инструмент при настройке или проверке различных элементов ИТ-инфраструктуры на предмет защищенности. Полный перечень включает около 140 наставлений, сгруппированных по разным темам: .

• Desktops & Web Browsers
• Mobile Devices
• Network Devices
• Security Metrics
• Servers – Operating Systems
• Servers – Other
• Virtualization Platforms & Cloud
• другие.

Помимо этого, CIS Benchmarks дает рекомендации по настройке конфигураций для систем Linux, Windows, Checkpoint, Cisco, Apache, MySQL, Oracle, VMware, а также содержит инструкции по настройке набирающих популярность Docker и Kubernetes.

С полным перечнем можно ознакомиться на сайте CIS https://www.cisecurity.org/cis-benchmarks/.

O-ISM3

При формировании требований безопасности необходимо учитывать уровень зрелости компании — уровень ее организационного и технологического развития. Для эффективного использования ИБ необходимо применять модель зрелости процессов. Она позволяет оценить уровень зрелости ИБ-процессов и определить приоритетные направления развития безопасности в компании.

Модель О-ISM3 (Open Information Security Management Maturity Model) разработана независимым консорциумом The Open Group и позволяет провести оценку зрелости функционирования существующих процессов СУИБ компании.

Модель О-ISM3 оперирует четырьмя уровнями управления СУИБ: базовый, стратегический, тактический и операционный. Согласно модели О-ISM3, процессы СУИБ классифицируются по пяти уровням зрелости:

1. Начальный (Initial)
2. Управляемый (Managed)
3. Описанный (Defined)
4. Контролируемый (Controlled)
5. Оптимизированный (Optimized)

Уровень определяется аудитором на основании предопределенных метрик и документации. Существует большое количество инструментов для оценки зрелости процессов (CMMI, NIST, BPM от Gartner и др.), и каждый определяет свой подход, к которому ИБ-специалисту необходимо обращаться при построении модели зрелости.

Заключение

В статье рассмотрены наиболее популярные международные стандарты в области информационной безопасности. Но количество представляющих интерес стандартов гораздо больше. Для решения нетривиальных задач необходимо обращать внимание не только на самые часто упоминаемые из них. Например, Центр по обеспечению безопасности в киберпространстве (Australian Cyber Security Centre) Австралийского союза разработал Руководство по информационной безопасности (Australian Government Information Security Manual), отражающее как технические рекомендации для обеспечения ИБ (перечень руководств), так и стратегические обоснования, которые ИБ-специалисты могут использовать в диалоге с бизнесом.

Помимо этого, существует много организаций и проектов, чьей целью является практическое обеспечение безопасности и публикации которых помогают ИБ-специалистам проверять свои объекты защиты на уязвимости. Примерами служат проект OWASP, отчеты команды ICS-CERT, база данный MITRE. Другие полезные инструменты —фреймворки OSSTMM, Penetration Testing Framework, ISSAF и др., помогающие проводить техническое обследование на предмет защищенности.

Необходимо понимать, что для качественного построения системы ИБ требуется агрегировать знания и совмещать подходы, полученные из разных источников, так как каждая система взглядов содержит плюсы и минусы и требует адаптации к условиям конкретной компании. Специалистам по информационной безопасности необходимо постоянно совершенствоваться, расширять набор компетенций и профессиональных знаний, и принятые за рубежом стандарты существенно помогают в этом.

Автор:
Мария Романычева, консультант Центра информационной безопасности компании «Инфосистемы Джет»