SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2

Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
27.12.2021


Руслан Рахметов, Security Vision


В предыдущей публикации мы начали перечисление наиболее интересных с нашей точки зрения документов NIST 800-ой и 1800-ой серии, и в данной статье мы продолжим начатую работу.


Документ SP 800-37 Rev. 2 "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy" («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности») содержит описание фреймворка управления рисками (NIST Risk Management Framework, RMF) и рекомендации по применению данного фреймворка для информационных систем и организаций для управления киберрисками, логически связав список предлагаемых мер защиты с перечисленными в документе NIST SP 800-53.


Документ SP 1800-5 "IT Asset Management" ( «Управление ИТ-активами») приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management), а также перечисляет киберриски при отсутствующем или неполном процессе инвентаризации активов.


Документ SP 800-125 "Guide to Security for Full Virtualization Technologies" («Руководство по безопасности технологий виртуализации») содержит общие рекомендации для виртуальных инфраструктур: обеспечение защиты всех компонентов платформы виртуализации, управление административным доступом, защита гипервизора, планирование обеспечения безопасности всех виртуальных компонент перед развертыванием.


Документ SP 800-125A Rev. 1 "Security Recommendations for Server-based Hypervisor Platforms" «Рекомендации по безопасности для серверных гипервизорных платформ») описывают базовые функции безопасности гипервизоров без привязки к конкретным архитектурам и платформам.


Документ SP 800-125B "Secure Virtual Network Configuration for Virtual Machine (VM) Protection" («Безопасная сетевая конфигурация для защиты виртуальных машин») описывают техники сетевой сегментации, обеспечения сетевой избыточности, контроль трафика с применением межсетевых экранов, мониторинг виртуальной сети для обеспечения кибербезопасности виртуальной инфраструктуры.


Документ SP 800-187 "Guide to LTE Security" («Руководство по безопасности сетей LTE») описывает принципы работы сотовых сетей 4-го поколения (LTE) и архитектуру их безопасности, с анализом угроз LTE-сетям и способам их нейтрализации.


Документ SP 800-190 "Application Container Security Guide" («Руководство по безопасности контейнеризованных приложений») описывает угрозы информационной безопасности при использовании технологии контейнеризации приложений и приводит рекомендации по способам их нейтрализации.


Документ SP 800-121 Rev. 2 "Guide to Bluetooth Security" («Руководство по безопасности технологии Bluetooth») предоставляет информацию о возможностях обеспечения безопасности беспроводной технологии Bluetooth и дает рекомендации по эффективному применению данных возможностей.


Документ SP 800-184 "Guide for Cybersecurity Event Recovery" («Руководство по восстановлению после киберинцидентов») содержит рекомендации по обеспечению непрерывности бизнеса и восстановлению работоспособности после киберинцидентов, включая разработку планов, инструкций, плейбуков реагирования и восстановления, а также включает метрики оценки эффективности процесса восстановления после кибератаки.


Документ SP 800-150 "Guide to Cyber Threat Information Sharing" («Руководство по обмену данными о киберугрозах») предоставляет рекомендации по обмену данными об индикаторах компрометации, о тактиках, техниках и процедурах атакующих и о результатах анализа обработанных киберинцидентов, что помогает определить надежные источники получения таких данных, согласовать правила обмена информацией, эффективно использовать данные киберразведки для повышения уровня кибербезопасности.


Документ SP 800-46 Rev. 2 "Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security" («Руководство по безопасности средств корпоративной удаленной работы, удаленного доступа и BYOD») содержит рекомендации по разработке политик для обеспечению безопасной удаленной работы, рассматривая различные варианты технологий.


Документ SP 800-167 "Guide to Application Whitelisting" («Руководство по составлению белого списка приложений») дает предложения по созданию allow-list исполняемых файлов, библиотек, файлов конфигураций путем применения встроенных в ОС технологий, использования разнообразных критериев оценки (цифровая подпись, хэш, расположение), применения режима аудита для оценки правил.


Документ SP 800-88 Rev. 1 "Guidelines for Media Sanitization" («Рекомендации по очистке носителей данных») содержит рекомендации по удалению конфиденциальной информации с носителей различных типов в зависимости от критичности данных, с указанием ролей и ответственных за процесс очистки.


Документ SP 800-101 Rev. 1 "Guidelines on Mobile Device Forensics" («Рекомендации по форензике мобильных устройств») дает краткую справку об актуальных на 2014 г. (год выпуска последней редакции документа) мобильных устройствах, сетях, технологиях и содержит рекомендации по проведению процедур киберкриминалистического исследования мобильных устройств.


Документ SP 800-83 Rev. 1 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops" («Руководство по предотвращению и обработке инцидентов заражения ВПО на десктопах и лэптопах») дает рекомендации по реагированию на киберинциденты, связанные с вредоносным программным обеспечением (ВПО), включая описание основных тактик защиты от ВПО и фаз реагирования (подготовка, выявление, анализ, сдерживание, устранение, восстановление, анализ причин).


Документ SP 800-30 Rev. 1 "Guide for Conducting Risk Assessments" («Руководство по проведению оценок рисков») посвящен процедуре проведения оценки риска, которая является фундаментальным компонентом процесса управления риском в организации в соответствии с NIST SP 800-39, наряду с определением, обработкой и мониторингом рисков.


Документ SP 800-61 Rev. 2 "Computer Security Incident Handling Guide" («Руководство по обработке инцидентов компьютерной безопасности»), несмотря на год выпуска последней актуальной редакции (2012 г.), будет полезен для выстраивания процессов реагирования на киберинциденты.


Документ SP 800-94 Rev. 1 (Draft) "Guide to Intrusion Detection and Prevention Systems" («Руководство по системам обнаружения и предотвращения вторжений») содержит проект описания технологий обнаружения и предотвращения вторжений и дает рекомендации по их внедрению, настройке, эксплуатации.


Документ SP 800-153 "Guidelines for Securing Wireless Local Area Networks" («Рекомендации по безопасности беспроводных сетей») предоставляет рекомендации по настройке и мониторингу беспроводных сетей для обеспечения безопасности.


Документ SP 800-144 "Guidelines on Security and Privacy in Public Cloud Computing" («Рекомендации по безопасности и конфиденциальности в публичных системах облачных вычислений») уже может считаться устаревшим, поскольку был выпущен 10 лет назад, в декабре 2011 года, однако затронутые в публикации вопросы безопасного использования компаниями облачных инфраструктур остаются актуальными.


Документ SP 800-137 "Information Security Continuous Monitoring for Federal Information Systems and Organizations" («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций») описывает принципы построения стратегии непрерывного мониторинга информационной безопасности, в основе которых лежит оценка эффективности мер защиты и статуса безопасности систем, что помогает предоставлять ситуационную осведомленность о состоянии кибербезопасности на основании информации, собранной из различных ресурсов.


Документ SP 800-39 "Managing Information Security Risk: Organization, Mission, and Information System View" («Управление риском информационной безопасности: Уровень организации, миссии, информационной системы») является основополагающим в фреймворке управления киберрисками NIST и предлагает вендоро-независимый, структурированный и гибкий подход к управлению рисками ИБ, включающий в себя этапы определения, оценки, обработки и мониторинга киберрисков.


Документ SP 800-34 Rev. 1 "Contingency Planning Guide for Federal Information Systems" («Руководство по планированию деятельности в непредвиденных обстоятельствах для федеральных информационных систем») предоставляет рекомендации по планированию деятельности организации в чрезвычайных обстоятельствах, включая разработку политики и стратегии непрерывности деятельности, проведение анализа критичности систем, проведение учебных тревог и тестирований, обновление плана.


Документ SP 800-41 Rev. 1 "Guidelines on Firewalls and Firewall Policy" («Рекомендации по фаирволлам и политикам межсетевого экранирования») содержит описание некоторых технологий межсетевого экранирования (актуальных на 2009 год) и дает рекомендации по внедрению фаирволлов и разработке политик межсетевого экранирования.


Документ SP 800-115 "Technical Guide to Information Security Testing and Assessment" («Руководство по тестированию и оценке информационной безопасности») содержит рекомендации по разработке и проведению процессов и процедур оценки информационной безопасности для поиска уязвимостей в сети/системе или для проверки соответствия политикам ИБ.


Документ SP 800-92 "Guide to Computer Security Log Management" («Руководство по управлению событиями компьютерной безопасности»), выпущенный в 2006 году, содержит высокоуровневое описание построения процесса управления событиями ИБ.


Документ SP 800-86 "Guide to Integrating Forensic Techniques into Incident Response" («Руководство по внедрению техник форензики в реагирование на инциденты») описывает процесс эффективных киберкриминалистических действий и дает рекомендации по использованию ценных источников технических форензик-данных.

NIST Стандарты ИБ

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?

Рекомендуем

КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Процессы управления ИБ (конспект лекции)
Процессы управления ИБ (конспект лекции)
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
Защита персональных данных (конспект лекции)
Защита персональных данных (конспект лекции)
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют