Подборка "лучших практик" по информационной безопасности

1. «Лучшие практики»:
ISACA, NIST, CERT, SANS и пр.
Прозоров Андрей
2014-05

3. Источники «лучших практик»
…

4. Самые известные…

5. ISACA
• «Information Systems Audit and Control
Association»
• с 1969 года
• Более 115 000 участников
• Членство: 135$ в год + 10$ (local chapter, Ru),
есть скидки для «новичков» (30$)
• http://isaca.org

6. Что посмотреть?
• Публикации и книги
• Сертификация специалистов (CISA, CISM,
CGEIT, CRISC)
• Журнал (6 раз в год)
• Площадка для общения и обмена опытом
• Конференции, вебинары и пр.
• The IT Governance Institute (ITGI)

7. Публикации
COBIT 5
(комплект книг)
IT Assurance
Framework (ITAF)
Business Model for Information
Security (BMIS)
Val IT Framework for Business
Technology Management
Risk IT Framework for Management
of IT Related Business Risks

8. Прочие документы с идеями COBIT5
• Securing Mobile Devices:
Using COBIT 5 for Information Security (138 стр.)
• Vendor Management Using COBIT 5 (196 стр. +toolkit)
• Configuration Management: Using COBIT 5 (88 стр.)
• Controls and Assurance in the Cloud: Using COBIT 5 (266 стр.)
• APT: How to manage the risk to your business (132 стр.)
• Transforming Cybersecurity: Using COBIT 5 (190 стр.)
• Responding to targeted cyberattacks (88 стр.)

9. NIST
• «National Institute of Standards and
Technology» (USA)
• Free
• http://nist.gov

10. Что посмотреть?
• Все публикации -
http://csrc.nist.gov/publications
• Вопросы криптографии
– Конкурс «Advanced Encryption Standard» (AES),
1997-2000. Победил алгоритм «Rijndael»
– Конкурс «SHA-3», 2007-2012. Победил алгоритм
«Keccak»

11. Публикации
Federal Information Processing
Standards (FIPS)
security standards
NIST Special Publications (SPs)
SP 800-series (computer security)
NIST Interagency
or Internal
Reports (NISTIRs)
Information
Technology
Laboratory (ITL)
Bulletins
other "white
papers"

12. Особо интересные NIST SP 800
• SP 800-53 Rev. 4 "Security and Privacy Controls for Federal
Information Systems and Organizations“
• SP 800-53 A Rev. 1 "Guide for Assessing the Security Controls in
Federal Information Systems and Organizations, Building
Effective Security Assessment Plans"
• SP 800-39 "Managing Information Security Risk: Organization,
Mission, and Information System View"
• SP 800-37 Rev. 1 "Guide for Applying the Risk Management
Framework to Federal Information Systems: A Security Life Cycle
Approach"
• SP 800-61 Rev. 2 "Computer Security Incident Handling Guide"
• SP 800-50 "Building an Information Technology Security
Awareness and Training Program“
• …

13. CERT
• «Computer emergency response team»
• Carnegie Mellon University (CMU)
• с 1988 года (с появления «Morris Worm»)
• http://cert.org

14. Что посмотреть?
• Материалы по защите от инсайдеров
http://cert.org/insider-threat
• Методика оценки рисков OCTAVE
(Operationally Critical Threat, Asset, and
Vulnerability Evaluation)
http://www.cert.org/resilience/products-
services/octave
• Прочие вопросы управления инцидентами
и противодействия киберугрозам

15. SANS
• The SANS Institute
• SANS: SysAdmin, Audit, Networking, and
Security
• Free
• с 1989 года
• http://sans.org

16. Что посмотреть?
• Top 20 Critical Security Controls (v.5)
http://www.sans.org/critical-security-controls
• OUCH! Security Awareness Newsletter (есть на
русском)
http://www.securingthehuman.org/resources/newsletters/ouch
• SANS Information Security Reading Room
http://www.sans.org/reading-room
• SANS Security Policy Project (Free Security Policy
Templates)
http://www.sans.org/security-resources/policies
• Сертификация специалистов (GIAC - Global
Information Assurance Certification)
• Курсы и тренинги

17. Top 20 Critical Security Controls
1: Inventory of Authorized and Unauthorized
Devices
2: Inventory of Authorized and Unauthorized
Software
3: Secure Configurations for Hardware and
Software on Mobile Devices, Laptops,
Workstations, and Servers
4: Continuous Vulnerability Assessment and
Remediation
5: Malware Defenses
6: Application Software Security
7: Wireless Access Control
8: Data Recovery Capability
9: Security Skills Assessment and Appropriate
Training to Fill Gaps
10: Secure Configurations for Network Devices
such as Firewalls, Routers, and Switches
11: Limitation and Control of Network Ports,
Protocols, and Services
12: Controlled Use of Administrative Privileges
13: Boundary Defense
14: Maintenance, Monitoring, and Analysis of
Audit Logs
15: Controlled Access Based on the Need to
Know
16: Account Monitoring and Control
17: Data Protection
18: Incident Response and Management
19: Secure Network Engineering
20: Penetration Tests and Red Team Exercises

18. PCI
• «Payment Card Industry Security Standards
Council» (PCI SSC)
• с 2006 года
• https://www.pcisecuritystandards.org
• http://ru.pcisecuritystandards.org

19. Что посмотреть?
• Стандарты (есть на русском):
–Data Security Standard (PCI DSS)
– Payment Application Data Security Standard (PA-DSS)
– PIN Transaction Security (PTS) (requirements)
• Обучение и сертификация

20. Группы требований PCI DSS 3.0 (2013)
1.Build and Maintain a
Secure Network and
Systems
(Построение и
обслуживание
защищенной сети и
систем)
2.Protect Cardholder
Data
(Защита данных
держателей карт)
3.Maintain a
Vulnerability
Management Program
(Программа
управления
уязвимостями)
4.Implement Strong
Access Control
Measures
(Внедрение строгих
мер контроля
доступа))
5.Regularly Monitor
and Test Networks
(Регулярный
мониторинг и
тестирование сети)
6.Maintain an
Information Security
Policy
(Поддержание
политики
информационной
безопасности)
2 2 2
3 2 1

21. И еще несколько…

22. BCI
• «Business Continuity Institute»
• с 1994 года
• Платное членство (165$/130$/120$ в год)
• http://thebci.org

23. Что посмотреть?
• Сертификация специалистов по BCM
• Good Practice Guidelines 2013 (free for members)
• Журнал (выходит 4 раза в год) -
http://thebci.org/index.php/resources/continuity-magazine
• Knowledge Bank
• Курсы и тренинги

24. BSI (de)
• «Bundesamtes für Sicherheit in der
Informationstechnik» (BSI)
• The Federal Office for Information Security
(BSI) is to promote IT security in Germanу
• c 1986, формально утвержден с 1990
• http://bsi.bund.de

25. Что посмотреть?
IT Grundschutz Standards:
• BSI Standard 100-1 «Information Security Management
Systems (ISMS)»
• BSI-Standard 100-2 «IT-Grundschutz Methodology»
• BSI-Standard 100-3 «Risk Analysis based on
IT-Grundschutz»
• BSI-Standard 100-4 «Business Continuity Management»
• Threat catalogue T 0 “Elementary Threats”
International:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGr
undschutzInternational/intl.html
2008 г.

26. OCEG
• «Open Compliance and Ethics Group»
• с 2002 года
• Все про GRC (стандарты, схемы и пр.)
• Платное членство (300$/399$/750$ в год)
• http://oceg.org

27. Что посмотреть?
• Стандарты:
–GRC Capability Model (Red Book) v.2.1 2012,
можно скачать бесплатно после регистрации
– GRC Assessment Tools (Burgundy Book)
– GRC Technology Solutions Guide
– GRC-XML Spec and Schema

28. ISM3
• «The Open Group Information Security
Management Maturity Model» (O-ISM3)
• http://ism3.com
• https://collaboration.opengroup.org/projects/
security/ism3

29. Что посмотреть?
• Free online downloads:
– O-ISM3 standard
– Optimizing ISO/IEC
27001 using O-ISM3

30. И совсем редкие, но
полезные материалы…

31. Прочие ссылки
• Information Security Forum (ISF)
https://www.securityforum.org
• European Union Agency for Network and Information Security
(ENISA) http://www.enisa.europa.eu
• The Building Security In Maturity Model (BSIMM)
http://www.bsimm.com
• The Generally Accepted Information Security Principles
project (GAISP) http://all.net/books/standards/GAISP-v30.pdf
• International Standard on Assurance Engagements (ISAE) No.
3402 http://isae3402.com
• The Data Management Association International (DAMA)
http://www.dama.org
• Agence nationale de la sécurité des systèmes d’information
(ANSSI, France) http://www.ssi.gouv.fr/en

33. + Бонус. Глоссарии
• NIST
http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf
• ISACA
http://www.isaca.org/Knowledge-Center/Documents/Glossary/glossary.pdf
• PCI DSS
https://www.pcisecuritystandards.org/documents/PCI_DSS_Glossary_Final_v3.pdf
• SANS
http://www.sans.org/security-resources/glossary-of-terms
• ITIL
http://t.co/IQysDbOB3p