Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji!

Czym są ramy bezpieczeństwa informacji cyberbezpieczeństwa NIST i jakie są ich etapy?

Jeśli spojrzysz na artykuły opublikowane w dziedzinie bezpieczeństwa, zobaczysz, że większość z nich dotyczy kwestii technicznych i pracy z narzędziami, podczas gdy istnieją inne ważne kwestie, takie jak zarządzanie, ryzyko i zgodność, aby odnieść sukces w świecie Bezpieczeństwo.

Jak wdrożyć te trzy podstawowe zasady w praktycznym procesie? Odpowiedź podsumowana jest w koncepcji ramowej, która zapewnia spójną infrastrukturę do zarządzania ryzykiem lub kontroli bezpieczeństwa.

Istotną zaletą frameworku jest to, że oferuje dużą swobodę wdrażania polityk zgodnie z potrzebami biznesowymi.

Ogólnie rzecz biorąc, frameworki dzielą się na trzy zasadnicze grupy: ramy ryzyka, ramy bezpieczeństwa informacji i ramy architektury korporacyjnej.

Przegląd frameworków

Framework to podstawowa struktura będąca sercem dużych architektur bezpieczeństwa, na której wdrażane są rozwiązania. Dlatego w technologii informacyjnej i cyberbezpieczeństwie stosuje się frameworki, aby zapewnić system, w oparciu o który możemy zarządzać ryzykiem, opracowywać architektury organizacyjne i zabezpieczać wszystkie nasze aktywa.

Ramy to plany działania, na które uzgadniają się eksperci IT i cyberbezpieczeństwa danej organizacji i które są opracowywane z uwzględnieniem różnych kwestii. Frameworki mają różne komponenty, z których najważniejsze należy wymienić poniżej:

Ryzyko

  • NIST RMF to platforma zarządzania ryzykiem stworzona przez Narodowy Instytut Standardów i Technologii. Jest to wynik zbieżności trzech polityk przedstawionych przez Publikacje Specjalne NIST, a mianowicie 800-39, 800-37 i 800-30. W podkategorii ryzyka wyróżnia się cztery podstawowe standardy:
  • ISO/IEC 27005 to ramy skupiające się na zarządzaniu ryzykiem i zostały opublikowane przez Międzynarodową Organizację Normalizacyjną w podserii ISO/IEC 27000.
  • OKTAWA: Ramy oceny zagrożeń dla operacji krytycznych, aktywów i podatności na zagrożenia opracowane przez Uniwersytet Carnegie Mellon i skupiające się na ocenie ryzyka.
  • FAIR to ramy analizy ryzyka informacyjnego opublikowane przez Instytut FAIR i skupiają się na dokładniejszym pomiarze prawdopodobieństwa wystąpienia incydentów i ich wpływu na działalność biznesową.

Program bezpieczeństwa

  • Seria ISO/IEC 27000 to zestaw międzynarodowych standardów dotyczących opracowywania i utrzymywania bezpieczeństwo informacji system zarządzania (ISMS) stworzony przez dwie organizacje, ISO i IEC.
  • Ramy cyberbezpieczeństwa NIST: Ramy cyberbezpieczeństwa NIST mają na celu zabezpieczanie systemów używanych w instytucjach rządowych. Te szeroko stosowane i kompleksowe ramy skupiają się na zapewnieniu wysokiego ryzyka Informacja.

Kontrola bezpieczeństwa

  • NIST SP 800-53 zawiera listę wybranych kontroli i procesów, na których można polegać w celu ochrony podatnych systemów.
  • Kontrole CIS: Centrum bezpieczeństwa internetowego non-profit zapewnia jedno z najprostszych podejść do ochrony wrażliwych informacji korporacyjnych i zasobów, które można wdrożyć w dużych i małych firmach.
  • COBIT 2019 to framework biznesowy skupiający się na zarządzaniu i nadzorowaniu technologii informatycznych w firmach.

Architektura korporacyjna

  • Zachman Framework: Jest to model tworzenia architektur korporacyjnych opracowany przez Johna Zachmana.
  • Open Group Architecture Framework: Jest to model tworzenia architektur organizacyjnych.
  • SABSA: Sherwood Applied Business Security Architecture to model i metoda rozwoju przedsiębiorstwa zorientowanego na ryzyko bezpieczeństwo informacji zarządzanie architekturą i usługami. Główną cechą modelu SABSA jest to, że koncentruje się on głównie na analizie wymagań biznesowych w celu ich zabezpieczenia.

Ramy ryzyka

Ramy zarządzania ryzykiem (RFM) należy zdefiniować jako ustrukturyzowany proces, który pozwala organizacji zidentyfikować i ocenić ryzyko, zredukować je do akceptowalnego poziomu oraz zapewnić, że ryzyko istnieje w odpowiedniej i kontrolowanej grupie. RMF to ustrukturyzowane podejście do zarządzania ryzykiem.

CZYTAĆ:  Niezbędny przewodnik po śledzeniu połączeń dla marketerów

Jak widać, dostępnych jest wiele różnych ram zarządzania; co powinno być dla Ciebie ważne jako bezpieczeństwo informacji profesjonalistą jest zapewnienie, że organizacja ma RMF, który działa sprawnie. Organizacje raczej akceptują niektóre ramy, ponieważ na przestrzeni lat sprawdziły się. Dlatego wybierając framework, należy przeprowadzić dokładny research i wybrać opcję zgodną ze strategią biznesową organizacji lub w razie potrzeby ją zmodyfikować i wdrożyć. Jednym z udanych i kluczowych frameworków w tej dziedzinie jest NIST RMF, z którym zamierzamy poznać jego koncepcję i komponenty.

NIST RMF

Struktura NIST ma na celu pomóc organizacjom różnej wielkości, przede wszystkim dużym, i koncentruje się na ochronie prywatności podczas dostarczania produktu, usługi lub informacji. Podstawowym celem tej dyrektywy jest poprawa bezpieczeństwa infrastruktury krytycznej dużych organizacji przed atakami wewnętrznymi i zewnętrznymi. W szczególności NIST proponuje pięć głównych podejść do zarządzania zagrożeniami dla bezpieczeństwa danych i informacji. Funkcje te to identyfikacja, ochrona, diagnoza, reakcja i odzyskiwanie.

Krótki opis każdej funkcji jest następujący:

  • Identyfikuj: pomaga organizacjom identyfikować zagrożenia bezpieczeństwa dotyczące zasobów, środowiska biznesowego i zarządzania IT poprzez kompleksową ocenę ryzyka i procesy zarządzania.
  • Chroń: definiuje środki bezpieczeństwa potrzebne do ochrony systemów informatycznych i danych i obejmuje kontrolę dostępu, szkolenia i podnoszenie świadomości, bezpieczeństwo danych, metody ochrony informacji i utrzymanie technologii ochronnych.
  • Wykryj: zawiera instrukcje dotyczące wykrywania anomalii w systemach zabezpieczeń, nadzoru i sieci, aby oddzielić zdarzenia związane z bezpieczeństwem od zdarzeń niezwiązanych z bezpieczeństwem, takich jak awaria sprzętu.
  • Odpowiedzi: zawiera zalecenia i techniki planowania reakcji na incydenty bezpieczeństwa, ograniczania ryzyka i procesów reagowania na incydenty.
  • Odzyskiwanie: zawiera wytyczne, z których mogą skorzystać organizacje, aby powrócić do stabilnych warunków w przypadku cyberataku.

Ramy te obejmują najważniejsze elementy zarządzania ryzykiem, o których musisz wiedzieć jako specjalista ds. bezpieczeństwa. Należy wspomnieć, że powyższy framework jest przeznaczony dla dużych organizacji i być może zaistnieje potrzeba zmiany jego ogólnej struktury w celu wdrożenia. NIST RMF działa w oparciu o siedmioetapowy proces (rysunek 1).

Należy zwrócić uwagę na ważny fakt, że cykl pokazany na rysunku 1 nigdy się nie kończy, ponieważ systemy informacyjne stale się zmieniają. Wszelkie zmiany należy przeanalizować w celu ustalenia, czy istnieje potrzeba wprowadzenia zmian w innych krokach. Wyjaśnienie każdego z etapów pokazanych na rysunku 1 jest następujące:

rysunek 1

Przygotowywać

Pierwszym krokiem jest zapewnienie spójności działań menedżerów wyższego szczebla (zarówno na poziomie strategicznym, jak i operacyjnym) w organizacji. Obejmuje to uzgodnienie ról, priorytetów, limitów i tolerancji ryzyka. Kolejną krytyczną czynnością w fazie przygotowawczej jest przeprowadzenie oceny ryzyka przedsiębiorstwa, która zapewnia zespołowi ds. bezpieczeństwa jasny obraz sytuacji, dzięki czemu może lepiej zrozumieć ryzyko. Jednym z wyników tej oceny jest identyfikacja cennych aktywów, które powinny chronić w najlepszy sposób.

Kategoryzować

Następnym krokiem jest klasyfikacja systemów informatycznych na podstawie ich wrażliwości i udostępnianie poufnych informacji, do których można uzyskać dostęp, które mają być przetwarzane lub przesyłane przez sprzęt klienta. Celem jest utworzenie klasyfikacji naszych systemów na podstawie ich wrażliwości i ważności, abyśmy mogli używać odpowiednich narzędzi bezpieczeństwa do ich ochrony. Obecnie większość organizacji europejskich i amerykańskich musi wdrożyć ramy NIST SP 800-60.

NIST SP 800-60 próbuje określić podatność systemów, koncentrując się na wrażliwości i znaczeniu zasobów organizacyjnych (poufność, integralność i dostępność). Załóżmy na przykład, że masz system zarządzania relacjami z klientami (CRM). Jeśli prywatność zostanie naruszona, firma wyrządzi znaczne szkody, zwłaszcza jeśli informacje wpadną w ręce konkurencji.

CZYTAĆ:  Jak zsynchronizować telefon z Androidem z Chromebookiem?

Jednak w przeciwieństwie do naruszenia integralności i dostępności systemu, prawdopodobnie nie będzie to miało krytycznych i dotkliwych konsekwencji dla biznesu. Dlatego jest uważany za ryzykowne aktywo. Jest poniżej klasyfikacji. Na podstawie tej definicji klasyfikację bezpieczeństwa systemu zarządzania relacjami z klientami oblicza się za pomocą następującego wzoru:

SCCRM= {(Poufność, Wysoka), (Integralność, Niska), (Dostępność, Niska)} SP 800-60 wykorzystuje trzy poziomy klasyfikacji bezpieczeństwa: niski, średni i wysoki. Standardowa etykieta odnosi się do systemów informatycznych, które nie zawierają istotnych informacji. Dzięki temu naruszenie trzech zasad: poufności, integralności i dostępności biznesu nie stanowi poważnego wyzwania.

Etykieta umiarkowana odnosi się do systemów, w których naruszenie przynajmniej jednej z trzech zasad zakłóca realizację działań biznesowych. Powyższy tytuł odnosi się do systemów, w których naruszenie którejkolwiek z tych zasad spowoduje zatrzymanie działalności biznesowej. W naszym przykładzie naruszenie zasad poufności jest bardzo ważne, ponieważ szkodzi reputacji marki.

Wybierać

Po skategoryzowaniu systemów nadszedł czas, aby wybrać i ewentualnie skonfigurować elementy sterujące, których będziesz używać do ochrony swoich zasobów. NIST RMF definiuje trzy typy kontroli bezpieczeństwa: wspólne, specyficzne i hybrydowe.

Kontrola wspólna to kontrola zdefiniowana i stosowana w kilku systemach. Na przykład w scenariuszu CRM, jeśli wdrażamy zaporę sieciową aplikacji internetowych (WAF) dla CRM, zastosowaliśmy wspólny mechanizm kontroli bezpieczeństwa, ponieważ możliwe jest użycie zapory w połączeniu z innymi komponentami oprogramowania i usługami organizacji . WAF wykracza poza monitorowanie pojedynczego systemu CRM i może chronić CRM innych systemów sieciowych.

Określone mechanizmy kontrolne są wdrażane w różnych systemach i chronią tylko określony system. Wyobraźmy sobie na przykład stronę logowania CRM, która korzysta z protokołu Transport Layer Security (TLS) do szyfrowania poufnych informacji użytkownika. Jeśli podsystem uwierzytelniania jest integralną częścią CRM, jest to przykład specyficznej kontroli.

Na pierwszy rzut oka wszystko wydaje się czarne lub białe w ramach NIST, ale świat bezpieczeństwa jest bardziej złożony i często kontrole mieszczą się pomiędzy poleceniami standardowymi i konkretnymi. Sterowanie hybrydowe jest częściowo wspólne, a częściowo specyficzne dla systemu. W przykładzie CRM kontrolą hybrydową może być edukacja i zwiększanie świadomości w zakresie bezpieczeństwa.

Realizacja

Na tym etapie należy wykonać dwa zasadnicze zadania; Wykonanie i dokumentacja. Praca jest prosta. Pierwsza część jest bardzo prosta. Na przykład, jeśli w poprzednim kroku określono, że należy dodać regułę do WAF w celu odfiltrowania ataków, takich jak wstrzykiwanie języka SQL (Structured Query Language), uruchomisz tę regułę. Część, z którą większość z nas ma problem, to dokumentowanie wprowadzanych zmian.

Dokumentacja jest niezbędna z dwóch powodów. Po pierwsze, pozwala nam zrozumieć, jakie kontrole istnieją, gdzie się znajdują oraz dlaczego są zdefiniowane i wdrażane. Próbujesz zrozumieć określone parametry lub zasady, ale wahasz się przed ich zmianą, ponieważ może to zakłócić działanie systemu. Czy kiedykolwiek zarządzałeś systemem, którego konfiguracja była w krytycznym stanie?

Ten problem występuje z powodu braku lub błędnej konfiguracji dokumentacji, co pozwala hakerom wykorzystać ukryte luki lub błędne konfiguracje i skutecznie przeprowadzić cyberatak. Drugim powodem znaczenia dokumentacji jest to, że umożliwi nam ona pełne zintegrowanie kontroli z ogólnym programem monitorowania i oceny oraz uzyskanie dokładnych informacji na temat zasad, które z biegiem czasu stały się przestarzałe i nieskuteczne.

Ocena

Ocena mechanizmów kontrolnych odgrywa kluczową rolę w prawidłowym zarządzaniu ryzykiem. Kontrole bezpieczeństwa, które zamierzamy wdrożyć, zapobiegną cyberatakom tylko wtedy, gdy będziemy w stanie je ocenić. Organizacje muszą mieć kompleksowy plan uwzględniający wszystkie zabezpieczenia (standardowe, hybrydowe i specyficzne dla systemu) pod kątem zagrożeń, którym mają zapobiegać. Aby móc go wdrożyć, plan ten musi zostać poddany przeglądowi i zatwierdzony przez odpowiednie władze.

CZYTAĆ:  Jakie są cechy dobrego hostingu dla SEO?

Z tego powodu niezbędna jest ocena wszystkich wdrożonych procesów, narzędzi i polityk. Ocena powinna wykazać, że opracowane ramy najlepiej radzą sobie z ryzykiem i chronią aktywa organizacji. Dlatego zespół opracowujący framework nie powinien go oceniać. Odpowiedzialność tę należy powierzyć ekspertowi ds. bezpieczeństwa organizacji, który oceni skuteczność mechanizmów kontrolnych oraz dobierze odpowiednie narzędzia i prawidłowo skompletuje dokumenty.

Ocena kontroli bezpieczeństwa nazywana jest „audytem”. przegląd powinien ustalić, czy wdrożenie władz jest odpowiednie. Dlatego też wyniki należy dokumentować w raportach, które będą stanowić punkt odniesienia dla późniejszych ocen. Jeżeli zasady są nieskuteczne, należy podjąć działania naprawcze w celu usunięcia braków, a wynik oceny wtórnej powinien zostać udokumentowany. Na koniec aktualizowane są plany bezpieczeństwa w celu uwzględnienia ustaleń i zaleceń z oceny.

Autoryzować

Jak wiadomo, żaden system na świecie nie jest pozbawiony ryzyka. Jednym z największych problemów, z jakimi borykają się eksperci ds. bezpieczeństwa w organizacji, jest uzyskiwanie różnych zezwoleń od menedżerów wyższego szczebla na wdrażanie polityk bezpieczeństwa w architekturze sieciowej organizacji.

Na tym etapie powinien przekazać wyniki oceny ryzyka i kontroli decydentowi w celu wydania zgody na podłączenie kontroli bezpieczeństwa do systemów informatycznych. Ta osoba (lub grupa) jest prawnie odpowiedzialna i odpowiedzialna za zapewnienie, że systemy będą nadal działać bez problemów po wdrożeniu odpowiednich uprawnień. Powinni zatem przekazywać rzetelne informacje, gdyż za jakąkolwiek awarię sieci odpowiedzialność będzie spoczywać na tych osobach, a nie na osobie odpowiedzialnej za wdrożenie mechanizmów bezpieczeństwa.

W większości organizacji pozwolenia na wdrożenie frameworków bezpieczeństwa wydawane są na określony czas w formie Planu Działania i Kamienia Milowego (POAM lub POA&M). Z tego powodu osoby przygotowujące ramy bezpieczeństwa muszą jasno wyjaśnić dyrektorowi generalnemu, jakie ryzyka stanowią wyzwanie dla organizacji i jakie straty poniesie organizacja, jeśli stawka zostanie zignorowana. Czasami po opracowaniu ram bezpieczeństwa trzeba zrewidować plan operacyjny, aby w przypadku cyberataku móc szybko zareagować i aby hakerom nie udało się szybko wykorzystać ukrytych słabości i braków w systemach informatycznych.

Monitor

Musimy okresowo przeglądać wszystkie kontrole, aby ustalić, czy są one nadal skuteczne. Czy nastąpiły zmiany w schemacie zagrożeń taktycznych i technicznych, czy odkryto nowe luki w zabezpieczeniach, czy nieudokumentowana lub niezatwierdzona zmiana w konfiguracji spowodowała spadek skuteczności kontroli bezpieczeństwa i czy poziom ryzyka wokół zasobów organizacji osiągnął grupę krytyczną? To tylko niektóre z kwestii, na które możemy odpowiedzieć poprzez ciągłe monitorowanie i ciągłe doskonalenie.

ostatnie słowo

Struktura NIST RMF jest jedną z najważniejszych i powszechnie stosowanych ramy zarządzania ryzykiem związanym z bezpieczeństwem informacji. Ramy te określają wytyczne dotyczące zarządzania bezpieczeństwo informacji ryzyka w organizacji, ale nie narzuca konkretnego podejścia do jego realizacji. Innymi słowy, framework mówi nam, co mamy robić, a nie jak.

Pobierz motywy WordPressPobierz motywy WordPressPobieranie premium motywów WordPressPobierz bezpłatne motywy WordPress PremiumZG93bmxvYWQgbHluZGEgY291cnNlIGZyZWU=pobierz oprogramowanie mobilnePobierz motywy WordPress za darmokurs udemy do pobrania za darmo