Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2

Руслан Рахметов, Security Vision

В предыдущей публикации мы начали перечисление наиболее интересных с нашей точки зрения документов NIST 800-ой и 1800-ой серии, и в данной статье мы продолжим начатую работу.

Документ SP 800-37 Rev. 2 "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy" («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности») содержит описание фреймворка управления рисками (NIST Risk Management Framework, RMF) и рекомендации по применению данного фреймворка для информационных систем и организаций для управления киберрисками, логически связав список предлагаемых мер защиты с перечисленными в документе NIST SP 800-53.

Документ SP 1800-5 "IT Asset Management" ( «Управление ИТ-активами») приводит характеристики эффективного программного решения для управления активами (ITAM, IT Asset Management), а также перечисляет киберриски при отсутствующем или неполном процессе инвентаризации активов.

Документ SP 800-125 "Guide to Security for Full Virtualization Technologies" («Руководство по безопасности технологий виртуализации») содержит общие рекомендации для виртуальных инфраструктур: обеспечение защиты всех компонентов платформы виртуализации, управление административным доступом, защита гипервизора, планирование обеспечения безопасности всех виртуальных компонент перед развертыванием.

Документ SP 800-125A Rev. 1 "Security Recommendations for Server-based Hypervisor Platforms" «Рекомендации по безопасности для серверных гипервизорных платформ») описывают базовые функции безопасности гипервизоров без привязки к конкретным архитектурам и платформам.

Документ SP 800-125B "Secure Virtual Network Configuration for Virtual Machine (VM) Protection" («Безопасная сетевая конфигурация для защиты виртуальных машин») описывают техники сетевой сегментации, обеспечения сетевой избыточности, контроль трафика с применением межсетевых экранов, мониторинг виртуальной сети для обеспечения кибербезопасности виртуальной инфраструктуры.

Документ SP 800-187 "Guide to LTE Security" («Руководство по безопасности сетей LTE») описывает принципы работы сотовых сетей 4-го поколения (LTE) и архитектуру их безопасности, с анализом угроз LTE-сетям и способам их нейтрализации.

Документ SP 800-190 "Application Container Security Guide" («Руководство по безопасности контейнеризованных приложений») описывает угрозы информационной безопасности при использовании технологии контейнеризации приложений и приводит рекомендации по способам их нейтрализации.

Документ SP 800-121 Rev. 2 "Guide to Bluetooth Security" («Руководство по безопасности технологии Bluetooth») предоставляет информацию о возможностях обеспечения безопасности беспроводной технологии Bluetooth и дает рекомендации по эффективному применению данных возможностей.

Документ SP 800-184 "Guide for Cybersecurity Event Recovery" («Руководство по восстановлению после киберинцидентов») содержит рекомендации по обеспечению непрерывности бизнеса и восстановлению работоспособности после киберинцидентов, включая разработку планов, инструкций, плейбуков реагирования и восстановления, а также включает метрики оценки эффективности процесса восстановления после кибератаки.

Документ SP 800-150 "Guide to Cyber Threat Information Sharing" («Руководство по обмену данными о киберугрозах») предоставляет рекомендации по обмену данными об индикаторах компрометации, о тактиках, техниках и процедурах атакующих и о результатах анализа обработанных киберинцидентов, что помогает определить надежные источники получения таких данных, согласовать правила обмена информацией, эффективно использовать данные киберразведки для повышения уровня кибербезопасности.

Документ SP 800-46 Rev. 2 "Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD) Security" («Руководство по безопасности средств корпоративной удаленной работы, удаленного доступа и BYOD») содержит рекомендации по разработке политик для обеспечению безопасной удаленной работы, рассматривая различные варианты технологий.

Документ SP 800-167 "Guide to Application Whitelisting" («Руководство по составлению белого списка приложений») дает предложения по созданию allow-list исполняемых файлов, библиотек, файлов конфигураций путем применения встроенных в ОС технологий, использования разнообразных критериев оценки (цифровая подпись, хэш, расположение), применения режима аудита для оценки правил.

Документ SP 800-88 Rev. 1 "Guidelines for Media Sanitization" («Рекомендации по очистке носителей данных») содержит рекомендации по удалению конфиденциальной информации с носителей различных типов в зависимости от критичности данных, с указанием ролей и ответственных за процесс очистки.

Документ SP 800-101 Rev. 1 "Guidelines on Mobile Device Forensics" («Рекомендации по форензике мобильных устройств») дает краткую справку об актуальных на 2014 г. (год выпуска последней редакции документа) мобильных устройствах, сетях, технологиях и содержит рекомендации по проведению процедур киберкриминалистического исследования мобильных устройств.

Документ SP 800-83 Rev. 1 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops" («Руководство по предотвращению и обработке инцидентов заражения ВПО на десктопах и лэптопах») дает рекомендации по реагированию на киберинциденты, связанные с вредоносным программным обеспечением (ВПО), включая описание основных тактик защиты от ВПО и фаз реагирования (подготовка, выявление, анализ, сдерживание, устранение, восстановление, анализ причин).

Документ SP 800-30 Rev. 1 "Guide for Conducting Risk Assessments" («Руководство по проведению оценок рисков») посвящен процедуре проведения оценки риска, которая является фундаментальным компонентом процесса управления риском в организации в соответствии с NIST SP 800-39, наряду с определением, обработкой и мониторингом рисков.

Документ SP 800-61 Rev. 2 "Computer Security Incident Handling Guide" («Руководство по обработке инцидентов компьютерной безопасности»), несмотря на год выпуска последней актуальной редакции (2012 г.), будет полезен для выстраивания процессов реагирования на киберинциденты.

Документ SP 800-94 Rev. 1 (Draft) "Guide to Intrusion Detection and Prevention Systems" («Руководство по системам обнаружения и предотвращения вторжений») содержит проект описания технологий обнаружения и предотвращения вторжений и дает рекомендации по их внедрению, настройке, эксплуатации.

Документ SP 800-153 "Guidelines for Securing Wireless Local Area Networks" («Рекомендации по безопасности беспроводных сетей») предоставляет рекомендации по настройке и мониторингу беспроводных сетей для обеспечения безопасности.

Документ SP 800-144 "Guidelines on Security and Privacy in Public Cloud Computing" («Рекомендации по безопасности и конфиденциальности в публичных системах облачных вычислений») уже может считаться устаревшим, поскольку был выпущен 10 лет назад, в декабре 2011 года, однако затронутые в публикации вопросы безопасного использования компаниями облачных инфраструктур остаются актуальными.

Документ SP 800-137 "Information Security Continuous Monitoring for Federal Information Systems and Organizations" («Непрерывный мониторинг информационной безопасности для федеральных информационных систем и организаций») описывает принципы построения стратегии непрерывного мониторинга информационной безопасности, в основе которых лежит оценка эффективности мер защиты и статуса безопасности систем, что помогает предоставлять ситуационную осведомленность о состоянии кибербезопасности на основании информации, собранной из различных ресурсов.

Документ SP 800-39 "Managing Information Security Risk: Organization, Mission, and Information System View" («Управление риском информационной безопасности: Уровень организации, миссии, информационной системы») является основополагающим в фреймворке управления киберрисками NIST и предлагает вендоро-независимый, структурированный и гибкий подход к управлению рисками ИБ, включающий в себя этапы определения, оценки, обработки и мониторинга киберрисков.

Документ SP 800-34 Rev. 1 "Contingency Planning Guide for Federal Information Systems" («Руководство по планированию деятельности в непредвиденных обстоятельствах для федеральных информационных систем») предоставляет рекомендации по планированию деятельности организации в чрезвычайных обстоятельствах, включая разработку политики и стратегии непрерывности деятельности, проведение анализа критичности систем, проведение учебных тревог и тестирований, обновление плана.

Документ SP 800-41 Rev. 1 "Guidelines on Firewalls and Firewall Policy" («Рекомендации по фаирволлам и политикам межсетевого экранирования») содержит описание некоторых технологий межсетевого экранирования (актуальных на 2009 год) и дает рекомендации по внедрению фаирволлов и разработке политик межсетевого экранирования.

Документ SP 800-115 "Technical Guide to Information Security Testing and Assessment" («Руководство по тестированию и оценке информационной безопасности») содержит рекомендации по разработке и проведению процессов и процедур оценки информационной безопасности для поиска уязвимостей в сети/системе или для проверки соответствия политикам ИБ.

Документ SP 800-92 "Guide to Computer Security Log Management" («Руководство по управлению событиями компьютерной безопасности»), выпущенный в 2006 году, содержит высокоуровневое описание построения процесса управления событиями ИБ.

Документ SP 800-86 "Guide to Integrating Forensic Techniques into Incident Response" («Руководство по внедрению техник форензики в реагирование на инциденты») описывает процесс эффективных киберкриминалистических действий и дает рекомендации по использованию ценных источников технических форензик-данных.