Все знают наборы базовых защитных мер, которые предлагает ФСТЭК в своих четырех публичных (17, 21, 31v2014 и 239) и одном непубличном (31v2017) приказах или Банк России в своем ГОСТе 57580.1. У этих наборов есть один большой недостаток — назвать их базовыми все-таки язык не повернется, так как сложно отнести к таковым набор из почти двухсот у ФСТЭК и трехсот у ЦБ защитных мер. Если это меры базовые, то какие же тогда должны быть продвинутые? Как мне кажется, базовыми можно считать те меры, которых немного, но которые дают основной эффект с точки зрения ИБ и позволяют нейтрализовать основные угрозы. Я даже пару лет назад предлагал свой Топ10 защитных мер на базе приказов ФСТЭК.
Сегодня я не буду ничего предлагать — все равно регулятора ухо к таким идеям глухо 🙁 Я приведу список из существующих наборов защитных мер, которые приняты в разных странах разными регуляторами по ИБ.
Австралия
Я про австралийский набор защитных мер писал уже неоднократно, но не грех и повторить. У австралийского центра кибербезопасности (ACSC) исторически защитные меры делились на три набора, в 4, 8 и 35 защитных мер, которые позволяли нейтрализовывать 85, 90 и 95% угроз соответственно. Последняя версия разделена на несколько задач, каждая из которых начинает решаться с базовых (essential) защитных мер, от которых рекомендуется переходить к максимально эффективным (excellent), а затем уже реализовать оставшиеся (very good, good и limited), менее эффективные защитные меры. Соответственно, к основным задачам ACSC относит:
- предотвращение доставки и запуска вредоносного кода (4 essentials, 5 excellent, 5 very good, 1 good и 2 limited защитных меры),
- снижение числа инцидентов ИБ (3 essentials, 3 excellent и 4 very good защитных меры),
- обнаружение и реагирование на инциденты ИБ (1 excellent, 3 very good и 2 limited защитных меры),
- восстановление данных и обеспечение доступности (1 essential и 2 very good защитных меры),
- предотвращение действий инсайдера (1 very good защитная мера).
Итого, получается, что регулятор самого маленького материка на Земле к базовым сейчас относит 8 защитных мер:
- Контроль приложений
- Установление обновлений для приложений
- Настройка макросов в MS Office
- Усиление защиты пользовательских приложений (отключение плагинов, блокирование Flash и т.п.)
- Ограничение административных привилегий
- Обновление операционных систем
- Использование многофакторной аутентификации
- Регулярное резервное копирование.
США
Про Топ18 защитных мер от Center of Internet Security (CIS) я уже писал. В CIS Controls все защитные меры сгруппированы в так называемые группы внедрения (Implementation Group), которые направлены на компании с разными ресурсами, разной экспертизой в ИБ, разной зрелостью и моделями угроз. Таких групп три и они каждая из них содержит свой перечень защитных мер по нарастающей.
Помимо CIS свои базовые наборы есть и у других организаций, занимающихся кибербезопасностью, но эти являются самыми известными .
Бельгия
Бельгийский центр кибербезопасности предлагает 7 базовых защитных мер:
- Резервное копирование и восстановление из резервных копий
- Защита e-mail
- Идентификация и аутентификация
- Поддержка всех систем в актуальном, обновленном состоянии
- Защита оконечных устройств
- Контроль доступа
- Инвентаризация ИТ-активов.
Великобритания
У подданных ее Величества набор базовых защитных мер так и называется — Cyber Essentials (уже доступна 3-я версия) и он включает в себя 5 защитных мер:
- Межсетевые экраны
- Защищенная конфигурация
- Контроль доступа пользователей
- Защита от вредоносного кода
- Управление обновлениями.
Но не стоит думать, что это банальные рекомендации использовать МСЭ, антивирус и т.п. В отличие от многих других наборов базовых мер, национальный центр по кибербезопасности Великобритании начинают свои рекомендации с необходимости определения границ защищаемой системы, после чего защитные меры применяются к попавшим в scope ИТ-активам, к которым могут быть отнесены не только типичные рабочие станции и сервера, коммутаторы и точки беспроводного доступа, но и BYOD-устройства, тонкие клиенты и гипервизоры, различные облачные архитектуры и домашние пользователи. Для каждой из пяти защитных мер даны базовые рекомендации по их применению к тому или иному ИТ-активу.
Франция
Французы чем-то похожи на австралийцев своим подходом — они тему с базовыми защитными мерами ведут примерно с того же времени, что и наш ФСТЭК, но их число защитных мер существенно меньше — 42 (ответ на главный вопрос Вселенной). В 2013-м году французское национальной агенство по защите информационных систем (ANSSI) выпустило первую версию руководства по ИБ для медицинских информационных систем, а в 2017-м обновили его, представив вторую версию, в которой все 42 защитные меры разбиты на 10 групп:
- повышение осведомленности и обучение (3 меры)
- инвентаризация ИТ-активов и обеспечение процедуры доступа к ним только разрешенных пользователей и устройств (4 меры)
- аутентификация и контроль доступа (6 мер)
- защита устройств (5 мер)
- защита сети (8 мер)
- защищенное управление (3 меры)
- управление мобильной/удаленной работой (4 меры)
- поддержка ИТ-систем в актуальном состоянии (2 меры)
- аудит и реагирование на инциденты (5 мер)
- развитие (2 меры).
Каждая группа содержит базовые, всего их 39, и усиленные, их 26, защитные меры.
Нидерланды
У голландского национального центра кибербезопасности перечень базовых защитных мер насчитывает 8 пунктов:
- Включение и настройка механизмов регистрации событий
- Использование многофакторной аутентификации
- Контроль доступа к данным и сервисам
- Сегментация сети
- Шифрование носителей, содержащих конфиденциальную информацию
- Проверка доступности ИТ-активов из Интернет и защита тех, что «видны» снаружи
- Регулярное резервное копирование и проверка возможности восстановления
- Установка обновлений ПО.
Саудовская Аравия
Национальный регулятор по кибербезопасности Саудовской Аравии (NCA) также выпустил свой базовый набор защитных мер (так его и назвав — Essential Cybersecurity Controls, ECC), но надо признать, что в отличие от всех остальных наборов, он меньше всего подходит на базовый, так как защитные меры касаются не только технологий, процессов или работы с людьми, как в приведенных выше примерах, но и стратегии ИБ, о чем остальные базовые наборы не упоминают, что и закономерно — наличие стратегии ИБ говорил об определенной зрелости организации и вряди может быть отнесено к базовым мерам. В любом случае ECC разбит на 5 главных доменов, разбитых в свою очередь на 29 поддоменов, насчитывающих 114 защитных мер:
- Корпоративное управление
- Стратегия
- Управление
- Политики и процедуры
- Роли и ответственность
- Управление рисками
- ИБ в управлении ИТ-проектами
- Соответствие требованиям
- Аудит
- ИБ при работе с персоналом
- Повышение осведомленности и обучение
- Кибербезопасность
- Управление активами
- Управление идентификацией и аутентификацией
- Защита информационных систем и помещений
- Защита e-mail
- Сетевая безопасность
- Безопасность мобильных устройств
- Защита данных и информации
- Криптография
- Резервное копирование и восстановление
- Управление уязвимостями
- Тесты на проникновение
- Мониторинг ИБ
- Управление инцидентами и угрозами
- Физическая безопасность
- Безопасность веб-приложений
- Киберустойчивость
- Аспекты киберустойчивости при обеспечении непрерывности бизнеса
- Безопасность облаков и третьих лиц
- Безопасность третьих лиц
- Безопасность облачных вычислений и хостинга
- Безопасность АСУ ТП
- Защита АСУ ТП и промышленных устройств
Из этого перечня видно, что это никакой не базовый набор, а полноценный перечень защитных мер, схожий по сути с тем, что сделано ФСТЭК и ЦБ. Правда, NCA объединил все требования в одном документе, в то время как тот же ЦБ под эти пять доменов пишет свои стостраничные фолианты, а ФСТЭК ограничилась только вторым разделом по техническим мерам.
Объединенные Арабские Эмираты
Схожая картина в ОАЭ, где стандарт по кибербезопасности уже даже и не использует в своем названии слово Essentials, так как было бы странно, если стандарт, содержащий 188 защитных мер, из которых 136 мер обязательных, а детальных (под-мера, наверное, говорить нельзя) мер и вовсе 564. По своей структуре стандарт ОАЭ схож с тем, что написан у их коллег в Саудовской Аравии, но все защитные меры разбиты на два домена:
- Управление ИБ
- Стратегия и планирование
- Управление рисками
- Повышение осведомленности и обучение
- Соответствие требованиям
- Оценка эффективности
- Технические меры
- Управление активами
- Физическая безопасность
- Управление операциями
- Коммуникации
- Контроль доступа
- Безопасность третьих лиц
- Безопасность при покупке, разработке и поддержке информационных систем
- Управление инцидентами
- Управление непрерывностью.
Как и в случае с требованиями Саудовской Аравии, на стандарт ИБ ОАЭ сильно повлияла серия ISO 270хх, которую очень сложно отнести к базовым.
Катар
Фреймворк Катара по кибербезопасности схож со своими арабскими «собратьями» и назвать его базовым язык у меня не повернется — 14 блоков защитных мер, описанных на 430 страницах (ЦБ со своими 200 страницами «отдыхает»):
- Корпоративное управление (Cyber Governance)
- Защита оконечных устройств
- Защита приложений
- Сетевая безопасность
- Защита данных
- Управление изменениями и обновлениями
- Мониторинг ИБ и управление операциями
- Мониторинг безопасности АСУ ТП
- Управление инцидентами и реагирование
- Восстановление и непрерывность
- Приватность данных
- Управление идентификацией и аутентификацией
- Интернет вещей
- Безопасность облачных вычислений.
Получается, что российский подход ближе к арабскому, — всеобъемлющие наборы защитных мер, которые надо реализовать целиком или приложить усилия, чтобы понять, на чем фокусироваться в первую очередь, на чем во вторую, в третью и так далее. Это, как мне кажется, не самый лучший способ поднять защищенность предприятий в стране. К полным наборам защитных мер, если уж от них не отказаться, стоило бы прилагать «выжимки», которые описывают ТопХ рекомендаций, реализация которых позволила бы быстро поднять уровень кибербезопасности хотя бы до среднего. Правда, следуя примеру австралийцев, отражение 85% угроз, — это далеко не средний уровень. Понятно, что вряд ли регуляторы пойдут по этому пути (это же надо взять на себя ответственность за решение о том, какие меры надо реализовывать в первую очередь — куда проще требовать выполнять «все и сразу»), но, как минимум, для себя стоит все меры из отечественных требований по ИБ приоритизировать самостоятельно, взяв за основу базовые меры регуляторов из Австралии, США, Бельгии, Великобритании, Нидерландов или Франции. Причем лично мне австралийский подход нравится больше. Ну а если необходимо гармонизировать их с документами той же ФСТЭК, то Топ10 защитных мер я уже составлял — с него и стоит начинать.