Объединенная экспертная группа по инициативе преобразования


PM-11 ОПРЕДЕЛЕНИЕ ПРОЦЕССА ПРЕДНАЗНАЧЕНИЯ/ДЕЯТЕЛЬНОСТИ



страница36/48
Дата09.05.2018
Размер6.15 Mb.
1   ...   32   33   34   35   36   37   38   39   ...   48

PM-11 ОПРЕДЕЛЕНИЕ ПРОЦЕССА ПРЕДНАЗНАЧЕНИЯ/ДЕЯТЕЛЬНОСТИ

Мера безопасности: Организация:

a. Устанавливает процессы предназначения/деятельности с соображениями в отношении информационной безопасности и результирующего риска к деятельности организации, активам организации, людям, другим организациям и Нации; и



b. Определяет потребности в защите информации, являющиеся результатом установления процессов предназначения/деятельности, и пересматривает процессы по мере необходимости, пока достигаемые потребности защиты не получены.

Дополнительное руководство: Потребности в защите информации являются независимыми от технологий, требуют возможностей по противостоянию угрозам организациям, людям или Нации через компрометацию информации (то есть, потерю конфиденциальности, целостности или доступности). Потребности в защите информации происходят из потребностей предназначения/деятельности, определенных организацией, процессов предназначения/деятельности, выбранных, чтобы удовлетворить заявленные потребности, и стратегии управления рисками организации. Потребности в защите информации определяют требуемые меры безопасности для организации и соответствующих информационных систем, поддерживающих процессы предназначения/деятельности. Неотъемлемым в определении потребностей организации в защите информации является понимание уровня неблагоприятного воздействия, которое может быть результатом, если происходит компрометация информации. Чтобы сделать такое определение потенциального воздействия, используется процесс категорирования безопасности. Определение процесса предназначения/деятельности и соответствующих требований по защите информации документируются организацией в соответствии с политикой и процедурами организации. Связанные меры безопасности: PM-7, PM-8, RA-2.

Улучшения меры безопасности: Нет.

Ссылки: FIPS публикация 199; Специальная публикация NIST 800-60.

PM-12 ПРОГРАММА ИНСАЙДЕРСКИХ УГРОЗ

Мера безопасности: Организация реализует программу инсайдерских угроз, которая включает группу кросс-дисциплинарной обработки инцидентов инсайдерских угроз.

Дополнительное руководство: Организациям, обрабатывающим классифицированную информацию, требуется, в соответствии с Правительственным распоряжением 13587 и Национальной политикой по инсайдерским угрозам, подготовить программы инсайдерских угроз. Стандарты и руководства, которые применяются к программам инсайдерских угроз в классифицированных средах, могут также быть эффективно использованы, чтобы улучшить безопасность Контролируемой неклассифицированной информации в системах, не относящихся к национальной безопасности. Программы инсайдерских угроз включают меры безопасности по обнаружению и предотвращению злонамеренной инсайдерской деятельности через централизованную интеграцию и анализ технической и нетехнической информации, чтобы идентифицировать потенциальные интересы инсайдерских угроз. Руководителем департамента/агентства назначается высшее должностное лицо организации, как ответственный человек по реализации и обеспечению надзора за программой. В дополнение к возможностям централизованной интеграции и анализа программ инсайдерских угроз, как минимум, готовятся политики и планы реализации департамента/агентства в отношении инсайдерских угроз, проводится централизованный мониторинг деятельности отдельных сотрудников на принадлежащих правительству классифицированных компьютерах, осуществляется обучение по инсайдерским угрозам сотрудников, получающим доступ к информации из всех офисов департамента/агентства (такой, как людские ресурсы, юридическая, физическая безопасность, безопасность персонала, информационные технологии, безопасность информационных систем и обеспечение правопорядка) для анализа инсайдерских угроз, и проводятся самооценки состояния департамента/агентства в отношении инсайдерских угроз.

Программы инсайдерских угроз могут усилить существующие группы организаций по обработке инцидентов, которые уже могут иметься на местах, такие, как группы реагирования на инциденты компьютерной безопасности. В этих усилиях особенно важны записи по людским ресурсам, поскольку они являются убедительным свидетельством, показывающим, что некоторым типам преступлений инсайдеров часто предшествует нетехническое поведение на рабочем месте (например, повторяющиеся примеры раздраженного поведения и конфликтов с сослуживцами и другими коллегами). Эти предвестники могут лучше информировать и являться руководством для должностных лиц организации в более сфокусированных, целенаправленных контролирующих усилиях. Участие юридической группы важно, чтобы гарантировать, что все работы мониторинга выполнены в соответствии с соответствующим законодательством, директивами, нормитивными актами, политиками, стандартами и руководствами. Связанные меры безопасности: AC-6, AT-2, AU-6, AU-7, AU-10, AU-12, AU-13, CA-7, IA-4, IR-4, MP-7, PE-2, PS-3, PS-4, PS-5, PS-8, SC-7, SC-38, SI-4, PM-1, PM-14.



Улучшения меры безопасности: Нет.

Ссылки: Правительственное распоряжение 13587.

PM-13 ТРУДОВЫЕ РЕСУРСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Мера безопасности: Организация осуществляет разработку и совершенствование программы трудовых ресурсов информационной безопасности.

Дополнительное руководство: Разработка и развитие программы трудовых ресурсов информационной безопасности включает, например: (i) определение уровней знаний и умений, необходимых для выполнения обязанностей и задач по информационной безопасности; (ii) разработка основанной на ролях программы обучения для людей, которым назначили роли и обязанности по информационной безопасности; и (iii) предоставление стандартов для определения и создания индивидуальных квалификационных требований для должностных лиц и претендентов на должности, связанные с информационной безопасностью. Такие программы трудовых ресурсов могут также включать карьерный рост, связанный с информационной безопасностью, чтобы поощрить: (i) профессионалов информационной безопасности, по продвижению в области деятельности и заполнению позиций с большей ответственностью; и (ii) организации по заполнению должностей, связанных с информационной безопасностью, квалифицированным персоналом. Разработка и развитие программы трудовых ресурсов информационной безопасности осуществляется в дополнение к программам организации по освоению и обучению безопасности. Разработка и развитие программы трудовых ресурсов информационной безопасности сосредотачивается на разработке и учреждении базовых возможностей информационной безопасности выбранного персонала, требуемых для защиты деятельности, активов и людей организации. Связанные меры безопасности: AT-2, AT-3.

Улучшения меры безопасности: Нет.

Ссылки: Нет.

PM-14 ПРОВЕРКА, ОБУЧЕНИЕ И МОНИТОРИНГ

Мера безопасности: Организация:

a. Реализует процесс для гарантии того, что планы действий организации по проверке, обучению и мониторингу безопасности, связанные с информационными системами организации:

1. Разработаны и поддерживаются; и

2. Продолжают выполняться своевременно;

b. Пересматривает планы проверки, обучения и мониторинга для согласования со стратегией управления рисками и общими для организации приоритетами действий по реагированию на риски.

Дополнительное руководство: Эта мера гарантирует, что организации обеспечивают надзор действий по проверке, обучению и мониторингу безопасности, проводимых для всей организации, и что эти работы координируются. Ввиду важности непрерывного мониторинга программ, реализующих информационную безопасность на всех трех уровнях иерархии управления рисками, и широкого использования общих мер безопасности, организации координируют и консолидируют проверку и мониторинг работ, которые обычно проводятся как часть текущих оценок организации, поддерживающих множество мер безопасности. Работы по обучению безопасности, которые, как правило, сосредотачивался на отдельных информационных системах и конкретных ролях, также необходимо координировать для всех элементов организации. Планы и работы по проверке, обучению и мониторингу получают информацию из текущих угроза и оценок уязвимостей. Связакнные меры безопасности: AT-3, CA-7, CP-4, IR-3, SI-4.

Улучшения меры безопасности: Нет.

Ссылки: Специальные публикации NIST 800-16, 800-37, 800-53A, 800-137.

PM-15 КОНТАКТЫ С ГРУППАМИ И АССОЦИАЦИЯМИ ПО БЕЗОПАСНОСТИ

Мера безопасности: Организация устанавливает и оформляет контакт с выбранными группами и ассоциациями в рамках сообщества безопасности:

a. Чтобы облегчить постоянное образование и обучение безопасности для персонала организации;

b. Чтобы поддерживать соответствие с рекомендованными практиками, методами и технологиями безопасности; и

c. Чтобы делиться текущей связанной с безопасностью информацией включая угрозы, уязвимости и инциденты.



Дополнительное руководство: Постоянный контакт с группами и ассоциациями безопасности имеет первостепенную важность в среде быстро изменяющихся технологий и угроз. Группы и ассоциации безопасности включают, например, специальные группы, комиссии, профессиональные ассоциации, группы новостей и/или аналогичные группы профессионалов безопасности в подобных организациях. Организации выбирают группы и ассоциации, основываясь на функциях предназначения/деятельности организации. Организации совместно используют информацию об угрозах, уязвимостях и инцидентах, не противореча с применимыми федеральными законами, Правительственными распоряжениями, директивами, политиками, нормитивными актами, стандартами и руководствами. Связанная мера безопасности: SI-5.

Улучшения меры безопасности: Нет.

Ссылки: Нет.

PM-16 ПРОГРАММА ОСВОЕНИЯ УГРОЗ

Мера безопасности: Организация реализует программу освоения угроз, которая включает возможность совместного использования информации между организациями.

Дополнительное руководство: Из-за постоянного изменения и повышения изощренности противников, особенно в части постоянных развивающихся угроз (APT), становится более вероятно, что противники могут успешно нарушать или ставить под угрозу информационные системы организаций. Один из лучших методов, чтобы довести эту озабоченность до организаций - делиться информацией об угрозах. Это может включать, например, совместное использование событий угроз (то есть, тактики, технологий и процедур), которые организации испытали, способы противодействия, которые организации нашли эффективными против определенных типов угроз, разведку угроз (то есть, выявление и предупреждение об угрозах, которые возможно реализуются). Совместное использование информации об угрозах может быть двусторонним (например, правительственно-коммерческие кооперации, правительственно-правительственные кооперации), или многосторонним (например, принятие организациями участия в консорциумах по совместно использованию информации об угрозах). Информация об угрозах может быть очень чувствительной, требующей специальных соглашений и защиты, или менее чувствительной и свободно совместно используемой. Связанные меры безопасности: PM-12, PM-16.

Улучшения меры безопасности: Нет.

Ссылки: Нет.


ПРИЛОЖЕНИЕ H

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ОТОБРАЖЕНИЯ МЕР БЕЗОПАСНОСТИ НА ISO/IEC 27001 И 15408

Таблицы отображения в этом приложении предоставляют организациям общую индикацию покрытия мер безопасности относительно ISO/IEC 27001, Информационные технологии - Методы безопасности - Системы управления информационной безопасностью - Требования113 и ISO/IEC 15408, Информационные технологии - Методы безопасности - Критерии оценки безопасности ИТ.114 ISO/IEC 27001 применяется ко всем типам организаций и определяет требования для того, чтобы установить, реализовать, управлять, контролировать, пересматривать, сопровождать и улучшать задокументированную систему управления информационной безопасностью (ISMS) в контексте коммерческих рисков. Специальная публикация NIST 800-39 включает руководство по управлению риском на уровне организации, уровне процесса предназначения/деятельности и уровне информационной системы, непротиворечивое с ISO/IEC 27001, и предоставляет дополнительные детали реализации федеральному правительству и его подрядчикам. ISO/IEC 15408 (также известный как Общие Критерии) обеспечивает функциональные требования и требования доверия для разработчиков информационных систем и компонентов информационных систем (то есть, продуктов информационных технологий). Так как многие из технических мер безопасности, определенных в Приложении F, реализованы в аппаратных средствах, программном обеспечении и компонентах встроенного микропрограммного обеспечения информационных систем, организации могут получить существенную выгоду из приобретения и применения продуктов информационных технологий, оцененных в соответствии с требованиями ISO/IEC 15408. Использование таких продуктов может представить свидетельства, что некоторые меры безопасности реализованы правильно, работают как предназначено и дают требуемый эффект в удовлетворении заявленным требованиям безопасности.

Ранее, отображение ISO/IEC 27001 было создано путём связывания основной темы безопасности, идентифицированной в каждой из базовых мер безопасности Специальной публикации 800-53 к подобной теме безопасности в стандарт ISO/IEC. Эта методология привела к отображению отношений мер безопасности, а не к отображению эквивалентных требований меры безопасности. Обновление ISO/IEC 27001:2013 обеспечило возможность переоценить, удовлетворила ли реализация мер безопасности из Специальной публикации 800-53 намерение отображенных мер безопасности из ISO/IEC 27001 и наоборот, удовлетворила ли реализация мер безопасности из ISO/IEC 27001 намерение отображенных мер безопасности из Специальной публикации 800-53. Чтобы успешно соответствовать критериям отображения, реализация отображенных мер безопасности должна иметь результат в эквивалентном состоянии информационной безопасности. Однако, это не означает, что эквивалентность мер безопасности, основанная исключительно на приведенных здесь таблицах отображения, должна быть предположена организациями. Несмотря на то, что пересмотренные отображения мер безопасности более точны, есть кроме того определенная степень субъективности в анализе отображения, потому что отображения являются не всегда однозначными и могут не быть абсолютно эквивалентными. Следующие примеры иллюстрируют некоторые из проблем отображения:



Пример 1: Планирование на случай непредвиденных ситуаций Специальной публикации 800-53 и управление бесперебойной деятельностью ISO/IEC 27001, как считается, имеют подобную, но не ту же самую функциональность.

Пример 2: В некоторых случаях, подобные темы учитываются в двух наборах мер безопасности, но имеют различный контекст, ракурс или область. Специальная публикация 800-53 адресует меру безопасности потока информации широко с точки зрения одобренного санкционирования для того, чтобы контролировать доступ между исходными и целевыми объектами, тогда как ISO/IEC 27001 учитывает информационный поток более узко, поскольку он применяется к взаимодействующим сетевым доменам.

Пример 3: Мера безопасности A.6.1.1, Роли и обязанности по информационной безопасности, в ISO/IEC 27001 утверждает, что “все обязанности по информационной безопасности должны быть определены и выделены”, в то время как мера безопасности PM-10, в Процессе санкционирования безопасности, в Специальной публикации 800-53, которая отображена на A.6.1.1, имеет три различных части. Первая часть утверждает, что организация “назначает людей выполнять конкретные роли и обязанности …” Если A.6.1.1 отображен на PM-10, не обеспечивая дополнительной информации, организации могли бы предположить, что, если они реализуют A.6.1.1 (то есть, все обязанности определены и выделены), то намерение PM-10 было бы также полностью удовлетворено. Однако, это не имело бы место, так как другие две части PM-10 не будут учтены. Чтобы разрешить и разъяснить отображения мер безопасности, когда мера безопасности в правом столбце Таблиц H-1 и H-2 не полностью удовлетворяет намерение меры безопасности в левом столбце таблиц, мера безопасности в правом столбце определяется со звездочкой (*).

В нескольких случаях мера безопасности ISO/IEC 27001 может быть непосредственно отображены только на улучшение меры безопасности Специальной публикации 800-53. В таких случаях соответствующее улучшение определяется в Таблице H-2 указанием, что соответствующая мера безопасности ISO/IEC 27001 удовлетворяет только намерение указанного улучшения и не соответствует связанной основной мере безопасности из Специальной публикации 800-53 или любым другим улучшениям той основной меры безопансости. Там где улучшения не определены, мера безопасности ISO/IEC 27001 соответствует только базовой мере безопансости Специальной публикации 800-53.

И наконец, меры безопасности из ISO/IEC 27002 не рассмотрены в анализе отображения, так как стандарт является информативным, а не нормативеным.

Таблица H-1 обеспечивает отображение от мер безопасности в Специальной публикации NIST 800-53 к мерам безопасности в ISO/IEC 27001. Пожалуйста, рассмотрите вводный текст в начале Приложения H прежде, чем использовать отображения в Таблице H-1.


ТАБЛИЦА H-1: ОТОБРАЖЕНИЕ NIST SP 800-53 В ISO/IEC 27001

NIST SP 800-53 CONTROLS

ISO/IEC 27001 CONTROLS

Note: An asterisk (*) indicates that the ISO/IEC control does not fully satisfy the intent of the NIST control.

AC-1

Access Control Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.9.1.1, A.12.1.1, A.18.1.1, A.18.2.2

AC-2

Account Management

A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.5, A.9.2.6

AC-3

Access Enforcement

A.6.2.2, A.9.1.2, A.9.4.1, A.9.4.4, A.9.4.5, A.13.1.1, A.14.1.2, A.14.1.3, A.18.1.3

AC-4

Information Flow Enforcement

A.13.1.3, A.13.2.1, A.14.1.2, A.14.1.3

AC-5

Separation of Duties

A.6.1.2

AC-6

Least Privilege

A.9.1.2, A.9.2.3, A.9.4.4, A.9.4.5

AC-7

Unsuccessful Logon Attempts

A.9.4.2

AC-8

System Use Notification

A.9.4.2

AC-9

Previous Logon (Access) Notification

A.9.4.2

AC-10

Concurrent Session Control

None

AC-11

Session Lock

A.11.2.8, A.11.2.9

AC-12

Session Termination

None

AC-13

Withdrawn

---

AC-14

Permitted Actions without Identification or Authentication

None

AC-15

Withdrawn

---

AC-16

Security Attributes

None

AC-17

Remote Access

A.6.2.1, A.6.2.2, A.13.1.1, A.13.2.1, A.14.1.2

AC-18

Wireless Access

A.6.2.1, A.13.1.1, A.13.2.1

AC-19

Access Control for Mobile Devices

A.6.2.1, A.11.2.6, A.13.2.1

AC-20

Use of External Information Systems

A.11.2.6, A.13.1.1, A.13.2.1

AC-21

Information Sharing

None

AC-22

Publicly Accessible Content

None

AC-23

Data Mining Protection

None

AC-24

Access Control Decisions

A.9.4.1*

AC-25

Reference Monitor

None

AT-1

Security Awareness and Training Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

AT-2

Security Awareness Training

A.7.2.2, A.12.2.1

AT-3

Role-Based Security Training

A.7.2.2*

AT-4

Security Training Records

None

AT-5

Withdrawn

---

AU-1

Audit and Accountability Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

AU-2

Audit Events

None

AU-3

Content of Audit Records

A.12.4.1*

AU-4

Audit Storage Capacity

A.12.1.3

AU-5

Response to Audit Processing Failures

None

AU-6

Audit Review, Analysis, and Reporting

A.12.4.1, A.16.1.2, A.16.1.4

AU-7

Audit Reduction and Report Generation

None

AU-8

Time Stamps

A.12.4.4

AU-9

Protection of Audit Information

A.12.4.2, A.12.4.3, A.18.1.3

AU-10

Non-repudiation

None

AU-11

Audit Record Retention

A.12.4.1, A.16.1.7

AU-12

Audit Generation

A.12.4.1, A.12.4.3

AU-13

Monitoring for Information Disclosure

None

AU-14

Session Audit

A.12.4.1*

AU-15

Alternate Audit Capability

None

AU-16

Cross-Organizational Auditing

None

CA-1

Security Assessment and Authorization Policies and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

CA-2

Security Assessments

A.14.2.8, A.18.2.2, A.18.2.3

CA-3

System Interconnections

A.13.1.2, A.13.2.1, A.13.2.2

CA-4

Withdrawn

---

CA-5

Plan of Action and Milestones

None

CA-6

Security Authorization

None

CA-7

Continuous Monitoring

None

CA-8

Penetration Testing

None

CA-9

Internal System Connections

None

CM-1

Configuration Management Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

CM-2

Baseline Configuration

None

CM-3

Configuration Change Control

A.12.1.2, A.14.2.2, A.14.2.3, A.14.2.4

CM-4

Security Impact Analysis

A.14.2.3

CM-5

Access Restrictions for Change

A.9.2.3, A.9.4.5, A.12.1.2, A.12.1.4, A.12.5.1

CM-6

Configuration Settings

None

CM-7

Least Functionality

A.12.5.1*

CM-8

Information System Component Inventory

A.8.1.1, A.8.1.2

CM-9

Configuration Management Plan

A.6.1.1*

CM-10

Software Usage Restrictions

A.18.1.2

CM-11

User-Installed Software

A.12.5.1, A.12.6.2

CP-1

Contingency Planning Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

CP-2

Contingency Plan

A.6.1.1, A.17.1.1, A.17.2.1

CP-3

Contingency Training

A.7.2.2*

CP-4

Contingency Plan Testing

A.17.1.3

CP-5

Withdrawn

---

CP-6

Alternate Storage Site

A.11.1.4, A.17.1.2, A.17.2.1

CP-7

Alternate Processing Site

A.11.1.4, A.17.1.2, A.17.2.1

CP-8

Telecommunications Services

A.11.2.2, A.17.1.2

CP-9

Information System Backup

A.12.3.1, A.17.1.2, A.18.1.3

CP-10

Information System Recovery and Reconstitution

A.17.1.2

CP-11

Alternate Communications Protocols

A.17.1.2*

CP-12

Safe Mode

None

CP-13

Alternative Security Mechanisms

A.17.1.2*

IA-1

Identification and Authentication Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

IA-2

Identification and Authentication (Organizational Users)

A.9.2.1

IA-3

Device Identification and Authentication

None

IA-4

Identifier Management

A.9.2.1

IA-5

Authenticator Management

A.9.2.1, A.9.2.4, A.9.3.1, A.9.4.3

IA-6

Authenticator Feedback

A.9.4.2

IA-7

Cryptographic Module Authentication

A.18.1.5

IA-8

Identification and Authentication (Non-Organizational Users)

A.9.2.1

IA-9

Service Identification and Authentication

None

IA-10

Adaptive Identification and Authentication

None

IA-11

Re-authentication

None

IR-1

Incident Response Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1 A.18.1.1, A.18.2.2

IR-2

Incident Response Training

A.7.2.2*

IR-3

Incident Response Testing

None

IR-4

Incident Handling

A.16.1.4, A.16.1.5, A.16.1.6

IR-5

Incident Monitoring

None

IR-6

Incident Reporting

A.6.1.3, A.16.1.2

IR-7

Incident Response Assistance

None

IR-8

Incident Response Plan

A.16.1.1

IR-9

Information Spillage Response

None

IR-10

Integrated Information Security Analysis Team

None

MA-1

System Maintenance Policy and Procedures

A.5.1.1, A.5.1.2, A.6.1.1, A.12.1.1, A.18.1.1, A.18.2.2

MA-2

Controlled Maintenance

A.11.2.4*, A.11.2.5*

MA-3

Maintenance Tools

None

MA-4

Nonlocal Maintenance

None



Поделитесь с Вашими друзьями:
1   ...   32   33   34   35   36   37   38   39   ...   48


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница