Пользователь
0,1
рейтинг
29 декабря 2012 в 23:43

Разработка → NIST SP 800: библиотека по информационной безопасности

NIST Хочу познакомить хабрапользователей, касающихся прямо или косвенно вопросов защиты информации, с практически не упоминавшимся на Хабре замечательным методическим ресурсом: “NIST Special Publications 800 Series”.

NIST – National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. О них я и предлагаю поговорить подробнее.

В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:
  • управление информационной безопасностью;
  • технические вопросы обеспечения информационной безопасности;
  • криптографическая защита информации.

На счету каждой из групп десятки публикаций. В связи с тем, что криптография является достаточно специфичной областью, рекомендации в этой сфере, пожалуй, заслуживают отдельной статьи, а ниже я приведу обзор наиболее интересных и популярных документов первых двух групп.

Многие документы регулярно пересматриваются — в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.

Управление информационной безопасностью

Раздел содержит «джентельменский набор», пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого стоит.

SP 800-50
(2003)
Создание программы повышения осведомленности в области безопасности ИТ
Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
SP 800-84
(2006)
Тестирование планов безопасности ИТ
Политика, зоны ответственности, методология, примеры документов, частные методики: «настольный» тест, симуляции, тестирование в реальной обстановке
SP 800-100
(2006)
Коротко об информационной безопасности для руководства
Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами
SP 800-60
(2008)
Классификация информации и информационных систем по требованиям к безопасности методика классификатор
Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации
SP 800-115
(2008)
Технические вопросы оценки уровня ИБ
Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации
SP 800-118
(2009)
Управление паролями
Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии.
SP 800-37
(2010)
Управление рисками ИБ в федеральных информационных системах
Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов
SP 800-34
(2010)
Планирование обеспечения непрерывности в федеральных информационных системах
Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов
SP 800-137
(2011)
Мониторинг ИБ в федеральных информационных системах
Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации
SP 800-61
(2012)
Управление инцидентами в области ИБ
Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент
SP 800-40
(2012)
Управление обновлениями безопасности
Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса


Технические вопросы обеспечения информационной безопасности

Далее в более кратком формате — наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое «вкусное», соответственно, наверное, в самом низу).

SP 800-24
(2001)
Информационная безопасность учрежденческих АТС (PBX)
SP 800-58
(2005)
Информационная безопасность VoIP
SP 800-77
(2005)
Введение в IPSEC
SP 800-88
(2006)
Доверенная очистка (уничтожение) данных на носителях информации
SP 800-92
(2006)
Управление журналами безопасности
SP 800-45
(2007)
Безопасность электронной почты
SP 800-54
(2007)
Безопасность BGP
SP 800-95
(2007)
Разработка безопасных Web-сервисов
SP 800-44
(2007)
Обеспечение безопасности публичных Web-серверов
SP 800-111
(2007)
Технологии шифрования данных при хранении (на стороне пользователя)
SP 800-114
(2007)
Защита устройств пользователя, используемых для удаленного доступа в сеть организации
SP 800-28
(2008)
Угрозы пользователю при использовании активного контента и мобильного кода
SP 800-113
(2008)
Введение в SSL VPN
SP 800-48
(2007)
Дополнительные меры безопасности при использовании устаревших протоколов беспроводных сетей (WEP, WPA)
SP 800-46
(2009)
Обеспечение безопасности при организации удаленного доступа в сеть организации
SP 800-41
(2009)
Файрволы (межсетевые экраны) и политики их применения
SP 800-81
(2010)
Внедрение Secure DNS
SP 800-127
(2010)
Обеспечение безопасности WiMAX-сетей
SP 800-119
(2010)
Вопросы безопасности при внедрении IPv6
SP 800-82
(2011)
Безопасность промышленных систем
SP 800-63
(2011)
Аутентификация в информационных системах
SP 800-125
(2011)
Обеспечение безопасности при использовании технологий виртуализации
= хабраперевод =
SP 800-144
(2011)
Вопросы безопасности при использовании публичных облаков
SP 800-147
(2011)
Обеспечение целостности BIOS
SP 800-121
(2012)
Безопасность технологии Bluetooth
SP 800-83
(2012)
Антивирусная защита стационарных и мобильных рабочих мест сотрудников
SP 800-94
(2012)
Системы обнаружения/предотвращения вторжений (IDS/IPS)
SP 800-124
(2012)
Обеспечение безопасности мобильных устройств организации
SP 800-146
(2012)
Облачные вычисления: обзор технологий, анализ преимуществ и недостатков


Надеюсь, что в данном разнообразии каждый найдет себе пару-тройку документов для неторопливого прочтения в послепраздничные дни!
Андрей @OLS
карма
216,7
рейтинг 0,1
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (17)

  • +2
    Вот это кладезь! Спасибо! Однозначно в избранное!
  • 0
    Спасибо!!!
  • +1
    О! Теперь я знаю, что я буду делать в новогоднюю ночь! :D
  • 0
    Это кто нибудь переводит?
    • 0
      Я видел только в одной из компаний, где раньше работал, переведенные для внутрикорпоративных нужд документы по риск-менеджменту из этой серии.
      • 0
        Честно говоря жаль. Многие вещи явно стоит почитать доже людям далеким от компьютерной безопасности.
        • 0
          лет через 15 их переведет ФСТЭК, выдав за собственную разработку. Как это обычно и происходит сейчас.
          • 0
            Если ВЫ (и я тоже) согласятся ждать 15 лет :)
            • 0
              я не понял про «согласятся».
    • +3
      Для нужд дипломного проектирования, перевожу 800-125. Скоро закончу и выложу на хабре.
      • 0
        отлично, будет полезный пост, плюсую заранее.
        • +1
          Сказано — сделано
          • 0
            маладца, плюсанул пост, скачал документ.
          • 0
            Опубликовал ссылку на Ваш перевод в тексте.
          • 0
            вот вы молодец, успехов
    • +2
      Недавно перевел SP800-86 — Интеграция методов криминалистики в процесс реагирования на инциденты безопасности (кстати, нет в списке наверху).

      Как закончу оформлять (трансформация перечня действий в полноценную статью), так выложу :)
  • +1
    ISO продает свои стандарты, другие — тоже.
    А NIST — открывает на свободный доступ отличную документацию.

    Во время внедрения ISO 27001 мы пользовались материалами 800й серии. И по риск менежменту, и по техническим аспектам.
    Молодцы американцы, надеюсь наши переймут подходы и уровень профессионализма.

    Кстати, в их стандартах много картинок, причем цветных. После мрачных исошных талмудов, это же счастье:)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.