Недавно National Institute of Standards and Technology в США (NIST) обновили свой документ “Security and Privacy Controls for Information Systems and Organizations” до версии 5. Предыдущая версия была опубликована достаточно давно – почти 6 лет назад и за это время её скачали несколько миллионов раз, в том числе разработчики приказов ФСТЭК России брали за основу набор мер из 800-53.
Давайте посмотрим на интересные изменения:
- Правила выбора мер, базовые наборы мер защиты, правила оценки соответствия, правила управления рисками были отделены от основного документа в отдельные документы: 800-53A, 800-53B и SP 800-37. Область применения этих документов не такая широкая как у основного документа
- В основном документе 800-53 был оставлен только каталог мер защиты и комментарии по их применению. Сам каталог может использоваться самыми различными организациями для каких-то своих целей и внутренних требований именно как удобный, детальный каталог мер защиты. Таким образом существенно расширилась область применения основного документа.
- В описании области действия мер убрали упоминание система/организация. Теперь предполагается что каждая мера может внедряться как в организации в целом, так и для отдельных систем. Стало гибче.
- Меры обеспечения безопасности ПДн (Privacy Controls), которые раньше шли отдельным каталогом (приложение J), теперь интегрированы с мерами ИБ в один каталог
- Новая группа мер, посвященная управлению рисками от внешних поставщиков - Supply Chain Risk Management (SCRM), вполне соответствует актуальным современным угрозам
- Новые наборы мер, связанные
o cyber resiliency
o secure systems design
o security and privacy governance
o accountability
- В ближайшем будущем планируют создать интерактивный web портал, в котором будет в удобном виде представлена вся информация из 800-53, 800-53A и 800-53B.
В целом, для тех, кто ранее был не знаком с предыдущими версиями каталога, немного пройдусь по его интересным особенностям:
- может использоваться для реализации любых внешних и внутренних требований (requirement) по ИБ
- всего 321 мера защиты
- всего 1189 усилений или уточнений мер защиты
- четкая структура описания каждой меры защиты
o условное обозначение
o наименование
o основная мера защиты
§ описание
§ уточнения по области применения
§ комментарий
§ связанные меры защиты
o усиления меры защиты
o ссылки на внешние документы с более детальным описанием
- меры могут применяться как к организации в целом, так и к отдельным системам, а также hybrid, когда часть меры выполняется для всей организации, а часть только для отдельных систем. В общем предполагается что в организации будет зафиксировано, какие меры планируются для организации в целом, а какие для отдельных систем.
Выводы:
- Крайне интересный каталог мер защиты. Можно использовать его во всех организациях, особенно в тех, которые не подпадают в большом объеме под обязательные требования приказов ФСТЭК России
- Так как ранее ФСТЭК-ом была проделана работа по адаптации мер из 800-53 в приказы ФСТЭК, то логично не останавливаться в этой работе, а также обновлять и дополнять единый каталог мер защиты ФСТЭК. Ниже сравнение групп мер из 5 версии NIST 800-53 и приказа ФСТЭК №239 (как наиболее свежего)
- Сейчас в приказах ФСТЭК есть только условные обозначения и описания мер защиты. Потерялось все остальное (описание, связи, область применения, комментарии, ссылки на доп. источники информации)
- Частично указанная выше информация была в методическом документе ФСТЭК по мерам защиты ГИС, но сейчас он уже теряет актуальность и требует обновления
- Огромными офлановыми каталогами пользоваться не удобно, поэтому все идут по пути онлайн каталогов мер защиты. Вполне логично что на портале БДУ ФСТЭК России должен появится такой интерактивный каталог, а также мапинги на другие стандарты (хотя бы российские типа ГОСТ 57580)
PS: Почему то аналогичные мои предложения по развитию национальных каталогов, методических документов и онлайн инструментов не нашли понимания в рабочей группе по ИБ в рамках Цифровой экономики. Надеюсь, там был альтернативный план, как не остаться в хвосте по сравнению с другими лучшими практиками.
PPS: Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале
TWITTER
FACEBOOK
VK
Telegram
Дзен