Национальный институт стандартов и технологий 1 Реализация Федерального закона США об управлении информационной безопасностью ( FISMA ) Стратегия, вызовы и дорожная карта 30 января 2007 года Д-р Рон Росс Отдел компьютерной безопасности Лаборатории информационных технологий

Национальный институт стандартов и технологий 2 Глобальная угроза Информационная безопасность является не только работой с документами… есть опасные противники, которые могут запустить серьезные атаки против наших информационных систем; эти атаки могут нанести серьезный или даже разрушительный ущерб критически важной государственной информационной инфраструктуре и, в конечном счете, представлять угрозу экономической и национальной безопасности …

Национальный институт стандартов и технологий 3 Критически важная инфраструктура США Определение...системы и активы, как физические, так и виртуальные, которые являются настолько важными для США, что бездействие или разрушение таких систем и активов может оказать ослабляющее действие на безопасность, национальную экономическую безопасность, здоровье и безопасность населения или любую комбинацию указанных вопросов. -- Закон о борьбе с терроризмом в США ( )

Национальный институт стандартов и технологий 4 Критически важная инфраструктура США Примеры Системы энергоснабжения (электроэнергия, ядерная энергия, нефтегазовая, плотины) Транспорт (воздушный, автомобильный, железнодорожный, порты, водные пути) Системы здравоохранения / Аварийные службы ИТ и телекоммуникации Оборонная промышленность Банковское дело и финансы Почта и грузовые перевозки Сельское хозяйство / Продовольствие / Вода Химические препараты

Национальный институт стандартов и технологий 5 Федеральный закон об управлении информационной безопасностью Обзор Все федеральные ведомства должны разработать, оформить и реализовать внутриведомственную программу информационной безопасности, целью которой будет являться обеспечение безопасности информации и информационных систем, поддерживающих деятельность и активы ведомства, включая информационные системы, предоставляемые или контролируемые другими ведомствами, подрядчиками или другими сторонами… -- Федеральный закон об управлении информационной безопасностью, 2002 г.

Национальный институт стандартов и технологий 6 Видение FISMA Мы строим прочную основу информационной безопасности в крупнейшей информационной инфраструктуре в мире на основании всесторонних стандартов безопасности и технического руководства. Мы институционализируем комплексные рамки по управлению рисками, способствующей разработке и реализации федеральными ведомствами гибких и экономически целесообразных программ по обеспечению информационной безопасности. Мы создаем фундаментальный уровень «должного отношения к обеспечению безопасности» для федеральных ведомств и их подрядчиков на основании минимальных требований и мер обеспечения безопасности.

Национальный институт стандартов и технологий 7 Желаемое конечное состояние Видимость безопасности среди партнеров по деятельности или миссии Организация 1 Информационная система План мероприятий и график Отчет по оценке безопасности План безопасности системы Определение степени риска для деятельности и активов Организации 1 и приемлемости такого риска Информационные потоки по деятельности/ миссии Цель состоит в том, чтобы обеспечить видимость в соответствующих программах партнеров по обеспечению безопасности ДО начала связи, требующей защиты …установление уровней должного отношения к обеспечению безопасности и доверия. Определение степени риска для деятельности и активов Организации 2 и приемлемости такого риска Организация 2 Информационная система План мероприятий и график Отчет по оценке безопасности План безопасности системы Информация по обеспечению безопасности

Национальный институт стандартов и технологий 8 Программа информационной безопасности Противники атакуют наиболее слабое звено.. Где ваше слабое звено? Оценка рисков Планирование безопасности Политика и процедуры обеспечения безопасности Планирование действий на непредвиденный случай Планирование аварийного реагирования Информирование и обучение по вопросам безопасности Физическая безопасность Безопасность персонала Сертификация, аккредитация и оценки безопасности Механизмы контроля доступа Механизмы идентификации и аутентификации (биометрия, маркеры, пароли) Механизмы аудита Механизмы кодирования Межсетевые экраны и механизмы сетевой безопасности Системы обнаружения вторжений Параметры конфигурации безопасности Антивирусное программное обеспечение Смарт-карты Звенья цепи обеспечения безопасности: организационные, эксплуатационные и технические меры

Национальный институт стандартов и технологий 9 Управление рисками на уровне организации Основные виды деятельности по управлению рисками на уровне организации – рисками, вытекающими из деятельности информационной системы : Классификация информационной системы (по степени критичности/чувствительности) Выбор и кастомизация минимальных (базовых) средств контроля безопасности Дополнение средств контроля безопасности по результатам оценки рисков Документирование средств контроля безопасности в плане по обеспечению безопасности системы Реализация мер обеспечения безопасности в информационной системе Оценка мер обеспечения безопасности на предмет их эффективности Определение риска на уровне организации и степени приемлемости риска Санкционирование работы информационной системы Мониторинг мер обеспечения безопасности на постоянной основе

Национальный институт стандартов и технологий 10 Основные стандарты и руководства Стандарт FIPS 199 (Классификация безопасности) Стандарт FIPS 200 (Минимальные требования по безопасности) Стандарт NIST (Составление планов безопасности) Стандарт NIST (Управление рисками) Стандарт NIST (Сертификация и аккредитация) Стандарт NIST (Рекомендуемые меры обеспечения безопасности) Стандарт NIST A (Оценка мер обеспечения безопасности) Стандарт NIST (Системы национальной безопасности) Стандарт NIST (Отображение типов информации и ИС к категориям безопасности) Многие другие публикации FIPS и NIST включают стандарты и руководства по обеспечению безопасности в поддержку FISMA …

Национальный институт стандартов и технологий 11 Структура управления рисками Определение эффективности мер обеспечения безопасности (н-р, правильность реализации мер, надлежащее функционирование, удовлетворение требований безопасности) SP A Оценка мер обеспечения безопасности Постоянное отслеживание изменений в ИС, которые могут повлиять на меры обеспечения безопасности и переоценка эффективности таких мер SP / SP A Мониторинг мер обеспечения безопасности Документирование в плане безопасности требований по безопасности к информационной системе и имеющихся или планируемых мер обеспечения безопасности SP Документирование мер обеспечения безопасности SP Санкционирова ние системы Определение риска для деятельности организации, ее активов или персонала и в случае приемлемости риска, санкционирование работы системы FIPS 200 / SP / SP Улучшение мер обеспечения безопасности Использование результатов оценки рисков для дополнения кастомизированных базовых мер обеспечения безопасности по мере необходимости для обеспечения адекватных мер безопасности и должного отношения FIPS 200 / SP Выбор мер обеспечения безопасности Выбор минимальных (базовых) мер обеспечения безопасности для защиты ИС; применение по обстановке руководства по кастомизации Реализация мер обеспечения безопасности; применение параметров конфигурации безопасности Реализация мер обеспечения безопасности SP Определение степени критичности/чувствительности ИС в соответствие с потенциальным воздействием утери FIPS 199 / SP Классификация безопасности Отправная точка

Национальный институт стандартов и технологий 12 Классификация безопасности FIPS 199 НизкийСреднийВысокий Конфиденциаль ность Можно ожидать, что потеря конфиденциальности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря конфиденциальности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря конфиденциальности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. Целостность Можно ожидать, что потеря целостности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. Наличие (эксплуатацион ная готовность) Можно ожидать, что снижение эксплуатационной готовности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что снижение эксплуатационной готовности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что снижение эксплуатационной готовности окажет сильное или разрушающее негативное влияние на деятельность организации, активы организации или ее персонал. Пример: Информационная система организации Отображение типов информации к категориям безопасности, определенным в FIPS 199 SP

Национальный институт стандартов и технологий 13 Классификация безопасности FIPS 199 НизкийСреднийВысокий Конфиденциал ьность Можно ожидать, что потеря конфиденциальности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал Можно ожидать, что потеря конфиденциальности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал Можно ожидать, что потеря конфиденциальности окажет негативное влияние на деятельность организации, активы организации или ее персонал. Целостность Можно ожидать, что потеря целостности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. Наличие (эксплуатацион ная готовность) Можно ожидать, что снижение эксплуатационной готовности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что снижение эксплуатационной готовности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что снижение эксплуатационной готовности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. Пример: Информационная система организации Минимальные меры обеспечения безопасности для систем, на которое влияние будет средним FIPS 200SP

Национальный институт стандартов и технологий 14 Минимальные требования по безопасности Требования FISMA Разработать минимальные требования по информационной безопасности к информации и информационным системам для каждой категории безопасности, определенной в FIPS 199 Публикации: Федеральный стандарт для обработки информации (FIPS) Публикация 200, «Минимальные требования к федеральной информации и информационным системам» Итоговая публикация: март 2006 года

Национальный институт стандартов и технологий 15 Минимальные меры обеспечения безопасности Разработать минимальные меры обеспечения безопасности (организационные, эксплуатационные и технические) в целях удовлетворения минимальных требований по безопасности, предусмотренных в FIPS 200 Публикации : NIST «Рекомендуемые меры обеспечения безопасности для федеральных информационных систем» Итоговая публикация: февраль 2005 года* * SP , пересм. версия 1 должна быть опубликована в декабре 2006 года.

Национальный институт стандартов и технологий 16 Минимальные меры обеспечения безопасности Минимальные меры обеспечения безопасности или базовые меры, определенные для информационных систем, характеризуемых как имеющее низкий, средний и высокий уровень воздействия Обеспечение отправной точки для организаций в процессе отбора мер обеспечения безопасности Используются в совокупности с руководством по кастомизации, которое позволяет подстроить базовые меры к конкретным условиям эксплуатации Поддержка реализуемого организацией процесса управления рисками

Национальный институт стандартов и технологий 17 Базовые меры обеспечения безопасности Минимальные меры обеспечения безопасности ИС низкого уровня воздействия Минимальные меры обеспечения безопасности ИС высокого уровня воздействия Минимальные меры обеспечения безопасности ИС среднего уровня воздействия Сводный каталог мер обеспечения безопасности Полный перечень мер обеспечения безопасности и их расширений База #1 Выбор комплекса мер обеспечения безопасности из Сводного каталога, состоящего из мер базового уровня База #2 Основывается на низком базовом уровне. Выбор комплекса мер обеспечения из Сводного каталога меры базового уровня, дополнительные меры и расширенные меры База #3 Основывается на среднем базовом уровне. Выбор комплекса мер обеспечения из Сводного каталога меры базового уровня, дополнительные меры и расширенные меры

Национальный институт стандартов и технологий 18 Кастомизация мер обеспечения безопасности Анализ требований, определение параметров и соответствующие меры Минимальные меры по обеспечению безопасности ИC низкого уровня воздействия Минимальные меры по обеспечению безопасности BC низкого уровня воздействия Минимальные меры по обеспечению безопасности ИC низкого уровня воздействия Кастомизированные меры обеспечения безопасности Низкий базовый уровень Средний базовый уровень Высокий базовый уровень Организация #1 Эксплуатационная среда #1 Организация #2 Эксплуатационная среда #2 Организация #3 Эксплуатационная среда #3 Экономически эффективный, основанный на рисках подход к достижению адекватной информационной безопасности …

Национальный институт стандартов и технологий 19 Отслеживаемость требований Меры обеспечения безопасности FIPS 200 / SP Меры обеспечения безопасности FIPS 200 / SP Меры обеспечения безопасности FIPS 200 / SP Требования по безопасности высокого уровня Исходя из законодательства, указов президента, политики, директив, регулирования и стандартов Примеры: HIPAA, Закон Грэхема-Лича-Биллея, Акт Сарбаниса-Оксли, FISMA, Директива А-130 Административно-бюджетного управления США Какой комплекс мер обеспечения безопасности, в случае его реализации в информационной системе и подтверждения его эффективности, может продемонстрировать соответствие конкретному набору требований по безопасности? Организация #1 Организация #2Организация #3

Национальный институт стандартов и технологий 20 Золотые правила Создание эффективной программы информационной безопасности организации Разработайте стратегию информационной безопасности организации и «план игры» Обеспечьте корпоративное участие в программе информационной безопасности организации - эффективные программы начинаются сверху Интегрируйте информационную безопасность в инфраструктуру организации Установите уровень «должного отношения» к информационной безопасности Вначале сконцентрируйтесь на воздействии на миссию/деятельность – вносите информацию об угрозах только в случае ее конкретности и надежности

Национальный институт стандартов и технологий 21 Золотые правила Создание эффективной программы информационной безопасности организации Создайте сбалансированную программу информационной безопасности с организационными, эксплуатационными и техническими мерами обеспечения безопасности Сначала используйте прочный фундамент мер обеспечения безопасности и затем достраивайте этот фундамент, руководствуясь оценкой рисков Избегайте сложных и дорогостоящих оценок рисков, которые опираются на сомнительные предположения и непроверенные данные Укрепите мишень; поставьте несколько барьеров между противником и информационными системами организации Будьте хорошим потребителем – остерегайтесь поставщиков, пытающихся продать «односторонние решения» для проблем безопасности организации

Национальный институт стандартов и технологий 22 Золотые правила Создание эффективной программы информационной безопасности организации Не загружайтесь огромностью или сложностью проблемы информационной безопасности – работайте над ней не спеша и опирайтесь на небольшие успехи Не терпите безразличие к проблемам информационной безопасности организации И, наконец,… Управляйте рисками организации – не пытайтесь избегать их!

Национальный институт стандартов и технологий 23 Контактная информация 100 Bureau Drive Mailstop 8930 Gaithersburg, MD USA Руководитель проектаАдминистративная поддержка Д-р Рон РоссПегги Хаймс (301) (301) Старшие научные сотрудники по информационной безопасности и техническая поддержка Марианна Свонсон Д-р Сту Кацке (301) (301) Пэт ТосАрнольд Джонсон (301) (301) Мэтт ШолИнформация и обратная связь (301) Web: csrc.nist.gov/sec-cert Комментарии: