Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 1

Руслан Рахметов, Security Vision

Авторитет американского института NIST (National Institute of Standards and Technology, Национальный Институт Стандартов и Технологий) в среде специалистов по информационной безопасности фактически непререкаем. На протяжении многих лет документы NIST (специальные публикации и стандарты) используются мировым сообществом кибербезопасности для выстраивания логически взаимосвязанных, прозрачных, измеримых процессов обеспечения информационной безопасности и управления киберрисками.

В составе NIST функционирует Лаборатория Информационных Технологий (Information Technology Laboratory, ITL) – одна из шести исследовательских лабораторий в NIST, занимающаяся исследованиями и стандартами в области информационных технологий. В состав ITL входит подразделение по компьютерной безопасности (Computer Security Division, CSD), которое поддерживает веб-портал CSRC (Computer Security Resource Center, Ресурсный центр компьютерной безопасности), посвященный проектам и публикациям по теме информационной безопасности. Среди прочего, на данном ресурсе публикуются разрабатываемые различными рабочими группами документы:

• Специальные публикации (Special Publications, SP) 800 серии, представляющие собой рекомендации, руководства, технические спецификации и ежегодные отчеты по вопросам информационной безопасности в рамках компетенций NIST;

• Специальные публикации (Special Publications, SP) 1800 серии, содержащие практические советы и решения по кибербезопасности, наглядно демонстрирующие применение стандартов и лучших практик.
  

На данный момент на портале CSRC опубликованы более 230 специальных публикаций 800-ой и 1800-ой серии. Ниже приведем самые интересные на наш взгляд документы с кратким описанием и ссылками.

Документ SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Разработка требований по кибербезопасности IoT-устройств») посвящен оценке киберрисков использования устройств «интернета вещей» и разработке требований информационной безопасности к IoT-устройствам, производителям этих устройств и третьих лиц.

Документ SP 800-40 Rev. 4 (Draft) "Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology" ( «Руководство по планированию корпоративного управления обновлениями безопасности: Профилактическое обслуживание для ИТ») описывает типичные сложности в процессах патч-менеджмента крупных инфраструктур и дает рекомендации по упрощению и структурированию этой деятельности.

Документ SP 800-161 Rev. 1 (Draft) "Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations" («Практики управления киберрисками цепочки поставок для систем и организаций») предоставляет рекомендации по идентификации, оценке и снижению киберрисков цепочки поставок путем учета данного риска в корпоративных процедурах риск-менеджмента, а также создания стратегии, планов, политик и правил оценки рисков атак на цепочки поставок.

Документ SP 800-218 (Draft) "Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities" («Фреймворк создания безопасного программного обеспечения: Рекомендации по снижению рисков программных уязвимостей») содержит рекомендации по использованию фреймворка создания безопасного программного обеспечения - набора высокоуровневых практик безопасной разработки ПО, следование которому поможет сократить количество уязвимостей в коде, снизить потенциальный ущерб от их эксплуатации, устранить корневые причины возникновения уязвимостей.

Документ SP 800-50 Rev. 1 (Draft) "Building a Cybersecurity and Privacy Awareness and Training Program" («Построение программы обучения и тренировок по кибербезопасности и обеспечению конфиденциальности») пока находится в стадии обсуждения и после публикации затронет такую важную тему, как правильная организация процесса обучения по повышению осведомленности в вопросах обеспечения кибербезопасности и конфиденциальности персональных данных.

Документ SP 800-47 Rev. 1 "Managing the Security of Information Exchanges" («Управление безопасностью информационных обменов») содержит рекомендации по выстраиванию процессов обмена информацией без привязки к конкретным технологиям и каналам передачи данных, фокусируясь на выявлении процессов обмена информацией, обеспечении её защиты, выполнении соглашений между участниками обмена.

Документ SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security" («Руководство по обеспечению безопасности автоматизированных систем управления») предоставляет рекомендации по обеспечению безопасности АСУ ТП, SCADA-систем, программируемых логических контроллеров (ПЛК), распределенных систем управления с учетом специфических рисков и требований по безопасности и надежности. В настоящий момент 3-я редакция данного документа находится в стадии обсуждения.

Документ SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)" («Безопасность мобильных устройств: принеси свое собственное устройство») дает рекомендации по обеспечению кибербезопасности при внедрении BYOD-концепции на предприятии, с приведением практических примеров и указанием конкретных технологий.

Документ SP 1800-33 (Draft) "5G Cybersecurity" («Кибербезопасность сетей 5G») находится в стадии разработки и будет посвящен обработке киберрисков в сетях 5G с учетом особенностей данной технологии.

Документ SP 800-53 Rev. 5 "Security and Privacy Controls for Information Systems and Organizations" ( «Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций») является фундаментальным перечнем всевозможных защитных мер (технических и организационных), которые следует применять для обеспечения информационной безопасности и управления киберрисками; на данный документ и описанные в нем меры защиты ссылаются многие другие документы из серии NIST SP 800.

Документы SP 1800-25 "Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events" («Целостность данных: Идентификация и защита активов от вирусов-шифровальщиков и иных разрушительных событий»), SP 1800-26 "Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events" («Целостность данных: Выявление и реагирование на вирусы-шифровальщики и иные разрушительные события») и SP 1800-11 "Data Integrity: Recovering from Ransomware and Other Destructive Events" («Целостность данных: Восстановление после атак вирусов-шифровальщиков и иных разрушительных событий») дают практические рекомендации по борьбе с криптолокерами, с приведением конкретных сценариев кибератак и методов реагирования на инциденты.

Документ SP 800-55 Rev. 1 "Performance Measurement Guide for Information Security" («Руководство по измерению эффективности информационной безопасности») предлагает оценивать эффективность информационной безопасности на основе метрик для определения достаточности применяемых мер защиты, политик и процедур. В настоящее время готовится к выходу 2-ая редакция данного документа.

Документ SP 800-207 "Zero Trust Architecture" («Архитектура нулевого доверия») содержит описание концепции создания сетевой архитектуры по принципу нулевого доверия и примеры её использования для повышения информационной безопасности предприятия.

Документ SP 800-210 "General Access Control Guidance for Cloud Systems" («Общие рекомендации по контролю доступа к облачным системам») описывает принципы контроля доступа к облачным инфраструктурам с указанием специфики для каждой из сервисных моделей (IaaS, PaaS, SaaS).

Документ SP 800-124 Rev. 2 (Draft) "Guidelines for Managing the Security of Mobile Devices in the Enterprise" («Рекомендации по управлению безопасностью мобильных устройств на предприятии») предлагает рекомендации по обеспечению безопасности мобильных устройств с описанием возможных стратегий и технологий защиты на протяжении всего жизненного цикла их использования.

Документ SP 800-128 "Guide for Security-Focused Configuration Management of Information Systems" («Руководство по безопасному управлению конфигурацией информационных систем») предлагает структурированный подход к управлению конфигурацией ИТ-систем с фокусом на безопасность и мониторинг для снижения киберрисков и обеспечения требуемого уровня функциональности сервисов.

Документ SP 800-177 Rev. 1 "Trustworthy Email" («Надежная электронная почта») посвящен технологиям защиты электронной почты, таким как SPF, DKIM, DMARC, STARTTLS, MTA-STS, а также использованию PGP и S/MIME для обеспечения конфиденциальности email-переписки.