Habrahabr.ru, Москва, 30 декабря 2012 0:01:00
NIST SP 800: БИБЛИОТЕКА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Автор: OLS
Хочу познакомить хабрапользователей, касающихся прямо или косвенно вопросов защиты информации, с практически не упоминавшимся на Хабре замечательным методическим ресурсом: "NIST Special Publications 800 Series" .
NIST - National Institute of Standards and Technology - американский национальный институт стандартизации, аналог отечественного ГосСтандарта. В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности - CSRC , объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. О них я и предлагаю поговорить подробнее.
В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:
управление информационной безопасностью;
технические вопросы обеспечения информационной безопасности;
криптографическая защита информации.
На счету каждой из групп десятки публикаций. В связи с тем, что криптография является достаточно специфичной областью, рекомендации в этой сфере, пожалуй, заслуживают отдельной статьи, а ниже я приведу обзор наиболее интересных и популярных документов первых двух групп.
Многие документы регулярно пересматриваются - в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.
Управление информационной безопасностью
Раздел содержит "джентельменский набор", пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого ст о ит.
SP 800-50
(2003) Создание программы повышения осведомленности в области безопасности ИТ
Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
SP 800-84
(2006) Тестирование планов безопасности ИТ
Политика, зоны ответственности, методология, примеры документов, частные методики: "настольный" тест, симуляции, тестирование в реальной обстановке
SP 800-100
(2006) Коротко об информационной безопасности для руководства
Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами
SP 800-60
(2008) Классификация информации и информационных систем по требованиям к безопасности методика классификатор
Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации
SP 800-115
(2008) Технические вопросы оценки уровня ИБ
Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации
SP 800-118
(2009) Управление паролями
Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии.
SP 800-37
(2010) Управление рисками ИБ в федеральных информационных системах
Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов
SP 800-34
(2010) Планирование обеспечения непрерывности в федеральных информационных системах
Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов
SP 800-137
(2011) Мониторинг ИБ в федеральных информационных системах
Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации
SP 800-61
(2012) Управление инцидентами в области ИБ
Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент
SP 800-40
(2012) Управление обновлениями безопасности
Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса
Технические вопросы обеспечения информационной безопасности
Далее в более кратком формате - наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое "вкусное", соответственно, наверное, в самом низу).
SP 800-24
(2001) Информационная безопасность учрежденческих АТС (PBX)
SP 800-58
(2005) Информационная безопасность VoIP
SP 800-77
(2005) Введение в IPSEC
SP 800-88
(2006) Доверенная очистка (уничтожение) данных на носителях информации
SP 800-92
(2006) Управление журналами безопасности
SP 800-45
(2007) Безопасность электронной почты
SP 800-54
(2007) Безопасность BGP
SP 800-95
(2007) Разработка безопасных Web-сервисов
SP 800-44
(2007) Обеспечение безопасности публичных Web-серверов
SP 800-111
(2007) Технологии шифрования данных при хранении (на стороне пользователя)
SP 800-114
(2007) Защита устройств пользователя, используемых для удаленного доступа в сеть организации
SP 800-28
(2008) Угрозы пользователю при использовании активного контента и мобильного кода
SP 800-113
(2008) Введение в SSL VPN
SP 800-48
(2007) Дополнительные меры безопасности при использовании устаревших протоколов беспроводных сетей (WEP, WPA)
SP 800-46
(2009) Обеспечение безопасности при организации удаленного доступа в сеть организации
SP 800-41
(2009) Файрволы (межсетевые экраны) и политики их применения
SP 800-81
(2010) Внедрение Secure DNS
SP 800-127
(2010) Обеспечение безопасности WiMAX-сетей
SP 800-119
(2010) Вопросы безопасности при внедрении IPv6
SP 800-82
(2011) Безопасность промышленных систем
SP 800-63
(2011) Аутентификация в информационных системах
SP 800-125
(2011) Обеспечение безопасности при использовании технологий виртуализации
SP 800-144
(2011) Вопросы безопасности при использовании публичных облаков
SP 800-147
(2011) Обеспечение целостности BIOS
SP 800-121
(2012) Безопасность технологии Bluetooth
SP 800-83
(2012) Антивирусная защита стационарных и мобильных рабочих мест сотрудников
SP 800-94
(2012) Системы обнаружения/предотвращения вторжений (IDS/IPS)
SP 800-124
(2012) Обеспечение безопасности мобильных устройств организации
SP 800-146
(2012) Облачные вычисления: обзор технологий, анализ преимуществ и недостатков
Надеюсь, что в данном разнообразии каждый найдет себе пару-тройку документов для неторопливого прочтения в послепраздничные дни!