Итак, Cybersecurity Framework была опубликована в феврале 2014-го года, а последнее ее обновление произошло в июле 2015-го. Заложенная в нее идея достаточно проста — унифицировать подходы по безопасности промышленных систем на протяжении всего жизненного цикла, опираясь на уже существующие стандарты и передовой опыт. Интересно, что NIST, как автор этой модели, не только активно сотрудничал с экспертным сообществом и коммерческими компаниями (ФСТЭК при разработке 31-го приказа действовал также), но и на выходе представил сразу несколько удобных в работе материалов:
- сам документ в форматах PDF и EPUB
- табличку защитных мер в формате Excel
- базу данных защитных мер в формате FileMaker Pro.
Однако помимо схожих с 31-м приказом моментов, NIST сделать свой документ более практичным и конкретным. Например, он описал архитектуру промышленной сети с точки зрения ее построения и ее безопасности. Это так называемая пятиуровневая модель Университета Пурдью (Purdue), которая стала стандартом де-факто при проектировании промышленных систем. Она же вошла и в стандарт ISA SP99 и, позже, в IEC 62443, ставший наследником ISA SP99. Мне всегда не хватало в документах ФСТЭК иллюстративного материала (исключением, пожалуй, являются только документы по КСИИ).
Все защитные меры разбиты на 5 больших блоков (функций) — идентификация, защита, обнаружение, реагирование и восстановление. По сути, речь идет о жизненном цикле системы защиты любого объекта — от корпоративной до промышленной сети.
В каждом из пяти блоков затем выделяются несколько категорий защитных мер. Если вспомнить NIST SP800-53, то там упоминались 18 блоков защитных мер. В новом документе NIST число категорий возросло до 22. Расширение произошло за счет добавления ряда «бизнесовых» тем — управление рисками, корпоративное управление, бизнес-окружение и т.п., а также за счет перегруппировки ранее существовавших тем.
Наконец, NIST провел колоссальную работу по увязке предлагаемых защитных мер с уже существующими стандартами и практиками. В частности были учтены и даны ссылки на защитные меры из стандартов:
- NIST 800-82 и 800-53
- ISA/IEC-62443
- ISO 27001/02
- Стандарты ENISA
- Стандарт Катара
- Стандарт API
- Рекомендации ICS-CERT
- COBIT
- Council on CyberSecurity (CCS) Top 20 Critical Security Controls (CSC) .
Для новой редакции 31-го приказа, а также иных документов по защите промышленных систем, данная модель Cybersecurity Framework от NIST более чем полезна. Уж, как минимум, в части систематизации информации.
Council on CyberSecurity (CCS) объединились недавно с Center for Internet Security (CIS) и теперь название другое — CIS Critical Security Controls.
Кстати, нашим организациям реализовать хотя бы 5 первых контролей из CIS Critical Security Controls. Уровень зрелости пока не тот у нас для NIST Cybersecurity Framework.
Ну те же 17/31/31 приказы ФСТЭК во-многом схожи с этим Framework. Но реализуют их не все 🙁
В том то и проблема, в реализацию контролей нужно вкладывать ресурсы и процесс этот постепенный. Все сразу не сделать. У многих возникает состояние прострации от множества мер защиты и просто ничего не делают.
Чем мне нравится CIS Critical Security Controls, тем что там именно приоритезированный список контролей. И этот набор контролей отвечает на вопрос: что мы должны сделать прямо сейчас, во что вложить ресурсы, чтобы получить первый значимый результат. Внедрили один контроль, хотим лучше, значит можно переходить к следующему.
Согласно истории создания CIS CSC http://www.cisecurity.org/critical-controls/faqs.cfm Министерство обороны США обратилось с подобной проблемой в АНБ в 2008 году. В результате появился этот приоритезированный набор контролей от сообщества экспертов. Они строят на этой базе Национальную компанию по кибер-гигиене для организий, чтобы поднять общую планку среди организаций.
У австралийцев такой же подход, кстати. Правило Паретто применили к ИБ 🙂
Да, верно. Они говорят так "Мы реализовали лишь 5 наиболее важных контролей и закрыли 85% угроз". А всего у них Top из 35 контролей. Захотят снизить уровень рисков, будут внедрять следующий по важности.
Такая идея предлагалась ФСТЭКу. Пока они разумно отвечают, что если госам дать возможность сделать только 20 защитных мер из 160+, то они и будут делать только 20, игнорируя все остальное 🙁 Но как идея "наподумать", это мысль — еще раз закинуть удочку регулятору насчет отдельной методического документа с Топ20 защитных мер