NIST SP 800: библиотека по информационной безопасности

    NIST Хочу познакомить хабрапользователей, касающихся прямо или косвенно вопросов защиты информации, с практически не упоминавшимся на Хабре замечательным методическим ресурсом: “NIST Special Publications 800 Series”.

    NIST – National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. О них я и предлагаю поговорить подробнее.

    В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:
    • управление информационной безопасностью;
    • технические вопросы обеспечения информационной безопасности;
    • криптографическая защита информации.

    На счету каждой из групп десятки публикаций. В связи с тем, что криптография является достаточно специфичной областью, рекомендации в этой сфере, пожалуй, заслуживают отдельной статьи, а ниже я приведу обзор наиболее интересных и популярных документов первых двух групп.

    Многие документы регулярно пересматриваются — в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.

    Управление информационной безопасностью

    Раздел содержит «джентельменский набор», пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого стоит.

    SP 800-50
    (2003)
    Создание программы повышения осведомленности в области безопасности ИТ
    Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
    SP 800-84
    (2006)
    Тестирование планов безопасности ИТ
    Политика, зоны ответственности, методология, примеры документов, частные методики: «настольный» тест, симуляции, тестирование в реальной обстановке
    SP 800-100
    (2006)
    Коротко об информационной безопасности для руководства
    Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами
    SP 800-60
    (2008)
    Классификация информации и информационных систем по требованиям к безопасности методика классификатор
    Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации
    SP 800-115
    (2008)
    Технические вопросы оценки уровня ИБ
    Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации
    SP 800-118
    (2009)
    Управление паролями
    Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии.
    SP 800-37
    (2010)
    Управление рисками ИБ в федеральных информационных системах
    Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов
    SP 800-34
    (2010)
    Планирование обеспечения непрерывности в федеральных информационных системах
    Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов
    SP 800-137
    (2011)
    Мониторинг ИБ в федеральных информационных системах
    Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации
    SP 800-61
    (2012)
    Управление инцидентами в области ИБ
    Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент
    SP 800-40
    (2012)
    Управление обновлениями безопасности
    Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса


    Технические вопросы обеспечения информационной безопасности

    Далее в более кратком формате — наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое «вкусное», соответственно, наверное, в самом низу).

    SP 800-24
    (2001)
    Информационная безопасность учрежденческих АТС (PBX)
    SP 800-58
    (2005)
    Информационная безопасность VoIP
    SP 800-77
    (2005)
    Введение в IPSEC
    SP 800-88
    (2006)
    Доверенная очистка (уничтожение) данных на носителях информации
    SP 800-92
    (2006)
    Управление журналами безопасности
    SP 800-45
    (2007)
    Безопасность электронной почты
    SP 800-54
    (2007)
    Безопасность BGP
    SP 800-95
    (2007)
    Разработка безопасных Web-сервисов
    SP 800-44
    (2007)
    Обеспечение безопасности публичных Web-серверов
    SP 800-111
    (2007)
    Технологии шифрования данных при хранении (на стороне пользователя)
    SP 800-114
    (2007)
    Защита устройств пользователя, используемых для удаленного доступа в сеть организации
    SP 800-28
    (2008)
    Угрозы пользователю при использовании активного контента и мобильного кода
    SP 800-113
    (2008)
    Введение в SSL VPN
    SP 800-48
    (2007)
    Дополнительные меры безопасности при использовании устаревших протоколов беспроводных сетей (WEP, WPA)
    SP 800-46
    (2009)
    Обеспечение безопасности при организации удаленного доступа в сеть организации
    SP 800-41
    (2009)
    Файрволы (межсетевые экраны) и политики их применения
    SP 800-81
    (2010)
    Внедрение Secure DNS
    SP 800-127
    (2010)
    Обеспечение безопасности WiMAX-сетей
    SP 800-119
    (2010)
    Вопросы безопасности при внедрении IPv6
    SP 800-82
    (2011)
    Безопасность промышленных систем
    SP 800-63
    (2011)
    Аутентификация в информационных системах
    SP 800-125
    (2011)
    Обеспечение безопасности при использовании технологий виртуализации
    = хабраперевод =
    SP 800-144
    (2011)
    Вопросы безопасности при использовании публичных облаков
    SP 800-147
    (2011)
    Обеспечение целостности BIOS
    SP 800-121
    (2012)
    Безопасность технологии Bluetooth
    SP 800-83
    (2012)
    Антивирусная защита стационарных и мобильных рабочих мест сотрудников
    SP 800-94
    (2012)
    Системы обнаружения/предотвращения вторжений (IDS/IPS)
    SP 800-124
    (2012)
    Обеспечение безопасности мобильных устройств организации
    SP 800-146
    (2012)
    Облачные вычисления: обзор технологий, анализ преимуществ и недостатков


    Надеюсь, что в данном разнообразии каждый найдет себе пару-тройку документов для неторопливого прочтения в послепраздничные дни!
    Метки:
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 17
    • +2
      Вот это кладезь! Спасибо! Однозначно в избранное!
      • 0
        Спасибо!!!
        • +1
          О! Теперь я знаю, что я буду делать в новогоднюю ночь! :D
          • 0
            Это кто нибудь переводит?
            • 0
              Я видел только в одной из компаний, где раньше работал, переведенные для внутрикорпоративных нужд документы по риск-менеджменту из этой серии.
              • 0
                Честно говоря жаль. Многие вещи явно стоит почитать доже людям далеким от компьютерной безопасности.
                • 0
                  лет через 15 их переведет ФСТЭК, выдав за собственную разработку. Как это обычно и происходит сейчас.
                  • 0
                    Если ВЫ (и я тоже) согласятся ждать 15 лет :)
                    • 0
                      я не понял про «согласятся».
              • +3
                Для нужд дипломного проектирования, перевожу 800-125. Скоро закончу и выложу на хабре.
                • 0
                  отлично, будет полезный пост, плюсую заранее.
                  • +1
                    Сказано — сделано
                    • 0
                      маладца, плюсанул пост, скачал документ.
                      • 0
                        Опубликовал ссылку на Ваш перевод в тексте.
                        • 0
                          вот вы молодец, успехов
                    • +2
                      Недавно перевел SP800-86 — Интеграция методов криминалистики в процесс реагирования на инциденты безопасности (кстати, нет в списке наверху).

                      Как закончу оформлять (трансформация перечня действий в полноценную статью), так выложу :)
                    • +1
                      ISO продает свои стандарты, другие — тоже.
                      А NIST — открывает на свободный доступ отличную документацию.

                      Во время внедрения ISO 27001 мы пользовались материалами 800й серии. И по риск менежменту, и по техническим аспектам.
                      Молодцы американцы, надеюсь наши переймут подходы и уровень профессионализма.

                      Кстати, в их стандартах много картинок, причем цветных. После мрачных исошных талмудов, это же счастье:)

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.