3 с лишним года назад я написал пару заметок о том, как можно было бы улучшить 17-й (ну и до кучи 21-й, 31-й и 239-й) приказ ФСТЭК (тут и тут) с точки зрения его обвязки (по контенту у меня тоже были предложения). И вроде бы ничего сложного я не предложил, но, видимо, идея с самооценкой регулятору не зашла. Но в преддверии конференции ФСТЭК у меня вновь появились рацпредложения 🙂 Целых 3!
В этой заметке я напишу про приоритезацию защитных мер.В августе я уже про это упоминал, но не грех и повторить. В условиях нехватки бюджета или времени с каких из 150+ защитных мер начать? С сегментации или управления доступом, с внедрения средств защиты от вредоносного кода или межсетевого экранирования, с повышения осведомленности персонала или с регистрации событий безопасности? В австралийских требованиях по ИБ все защитные меры (их уже не 35, а 37) распределяются по 5 приоритетам — Essential, Excellent, Very Good, Good и Limited). Начинать рекомендуется с 8 базовых защитных мер, которые при этом дают не менее 90% эффекта.
Схожая конструкция у Center of Internet Security (CIS), который развивает еще один фреймворк (а фиг знает как это перевести на русский язык) с защитными мерами — CIS Controls, который иногда по старинке еще называют SANS Top20. Если у SANS был просто список из 20 защитных мер, то у CIS каждый из пунктов двадцатки — это уже название блока защитных мер (в приказах ФСТЭК или NIST CSF та же идея), в каждом из которых свой набор мер.
В CIS 20 все защитные меры также сгруппированы в так называемые группы внедрения (Implementation Group), которые направлены на компании с разными ресурсами, разной экспертизой в ИБ, разной зрелоостью и моделями угроз. Таких груп три и они каждая из них содержит свой перечень защитных мер по нарастающей.
Вот такой бы подход я бы и реализовал применительно к приказам ФСТЭК. Причем необязательно ждать, чтобы регулятор это внес в свои документы. Этого можно ждать долго и так и не дождаться. Почему бы самому не разбить полторы сотни защитных мер на группы в зависимости от того, какой эффект для защиты они дают? Взял на себя смелость предложить следующие Топ10 защитных мер из 17-го приказа, с которых я бы начал построение системы защиты в первую очередь:
- ОПС.3 — Установка (инсталляция) только разрешенного к использованию ПО и (или) его компонентов.
- АНЗ.2 — Контроль установки обновлений ПО, включая обновление ПО средств защиты информации. От себя добавлю, что речь идет не только о контроле установки обновлений, но и о самом обновлении.
- АНЗ.3 — Контроль работоспособности, параметров настройки и правильности функционирования ПО и средств защиты информации. В качестве первых кандидатов на ПО, настройки которого стоит не только контролировать, но и улучшать, я бы назвал MS Office, Adobe Acrobat, Adobe Flash, браузеры.
- АНЗ.5 — Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализация прав разграничения доступа, полномочий пользователей в информационной системе.
- УПД.5 — Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы.
- ИАФ.1 — Идентификация и аутентификация пользователей, являющихся работниками оператора. От себя добавлю, что речь в первую очередь должна идти о многофакторной аутентификации.
- ИАФ.2 — Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных.
- ОДТ.4 — Периодическое резервное копирование информации на резервные машинные носители информации.
- ОДТ.2 — Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы. От себя добавлю, что здесь также подразумевается и резервное копирование конфигураций ПО и технических средств.
- ЗИС.17 — Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы.
Надо отметить, что в приказах ФСТЭК есть определенная приоритезация, но не такая, как в тех же документах австралийского ASD или американского CIS. В наших документах состав базового набора защитных мер зависит не от наличия ресурсов, экспертизы или зрелости, а от уровня значимости защищаемой информации (в 21-м приказе — от типа и объема обрабатываемых ПДн, в 31-м и 239-м приказах — от критичности АСУ ТП/КИИ).
Приведенный выше список из 10-ти защитных мер, на мой взгляд, должен быть реализован в любой компании. Но тут стоит учитывать, что эта десятка включена в базовые наборы не с самого минимального уровня (правда, это не мешает вам эти меры все равно реализовать):
- ИАФ.2 — только с 2-го уровня
- ОДТ.4 — только с 2-го уровня
- ОДТ.2 — только с 1-го уровня
- ЗИС.17 — только с 2-го уровня.
Этот комментарий был удален администратором блога.