
Створення сайтів під ключ будь-якого
типу та рівня складності
Оптимізація і просування веб-сайтів
й додатків у пошукових системах
Кіберзахист, пентест, аудит, безпека
IT систем, додатків, цифрових пристроїв
Експлуатація і обслуговування IT-систем,
технічна підтримка 24/7
VPS/VDS хостинг для веб-сайтів,
оптимізований під швидкодію та безпеку
Онлайн-курси, консультації, послуги репетитора,
навчання IT-технологіям за різними напрямами
Фреймворк (від англ. framework) – це цілісна система, яка являє собою готовий шаблон, каркас або еталон, який можна застосовувати на практиці для здійснення тих чи інших дій, операцій. У даному контексті, мова піде про фреймоврки з кібербезпеки. Вони містять буквально усе, що потрібно для управління кібербезпекою: рекомендації і правила, сертифікації, методології, концепції, інструменти. Завдяки cybersecurity-фреймворкам будь-який бізнес, установа чи організація стають захищеними і можуть відповідати міжнародним стандартам. Фреймворк з кібербезпеки – це, по-суті, “дорожня карта”, котра дає чіткі вказівки як діяти у тому чи іншому випадку, як реагувати на інциденти, як правильно оцінювати ризики та здійснювати політику безпеки. Саме тому у багатьох країнах фреймворк з кібербезпеки є обов’язковим стандартом, якого слід дотримуватися. Аби зрозуміти, який cybersecurity framework обрати, або від чого відштовхуватися, необхідно спочатку проаналізувати для себе кращі рішення. Отож, пропонуємо огляд світових фреймворків з кібербезпеки.
ACSC розшифровуєттся як Australian Cyber Security Center (Австралійський центр з кібербезпеки). Намагаючись значно підвищити стійкість австралійського бізнесу до кібернетики, федеральний уряд Австралії зобов’язав дотримуватися 8 засобів контролю кібербезпеки, що отримали назву – Essential 8.
Ці вісім стратегій складаються з наступних частин:
Відповідність цим критерім оцінюється трьохрівневою шкалою “зрілості”:
Такий поділ дозволяє організаціям визначити свій поточний стан відповідності вимогам з кібербезпеки та розуміти, які конкретно зусилля необхідні для просування далі по цьому фреймворку.
CIS Critical Security Controls – це збірка найкращих практичних порад і рекомендацій з комп’ютерної безпеки. Проєкт було розпочато у 2008 році Інститутом SANS (США). Потім право власності було передане Раді з кібербезпеки США (CCS) у 2013 році, а у 2015 році передане організації Центр Інтернет-безпеки (Center for Internet Security, CIS). Початково фреймворк був відомий як Рекомендації з аудиту консенсусу, а також як SANS Critical Security Controls (SANS Top 20).
CIS Controls v8 об’єднує та консолідує 18 правил з кібербезпеки (у попередній редакції було 20-ть, але деякі пункти відкинули):
CSA Cloud Controls Matrix (CCM) — це фреймворк з кібербезпеки для хмарних обчислень і платформ, розроблений відповідно до керівництва Security Guidance for Critical Areas of Focus in Cloud Computing v4.0. Він складається з 197-ти цілей управління і контролю, структуровані в 17 областях, що охоплюють усі ключові аспекти хмарних технологій:
COBIT (Control Objectives for Information Technology) – ІТ-стандарт і фреймворк з кібербезпеки, розроблений ISACA (Асоціація аудиту та контролю інформаційних систем). Вперше був виданий у 1996 році, у 2012 році відбувся реліз COBIT 5, який оновили у 2019 році.
Стандарт сприяє чіткішій координації дій ІТ-департаменту та керівництва компанії, об’єднує в собі ряд інших стандартів, що дозволяє на високому рівні отримувати інформацію про стан ІТ та управляти цілями і задачами. Головне завдання COBIT – ліквідація розриву між баченням керівництва компанії і IT-департаментом. В COBIT детально описані цілі, принципи і об’єкти управління, чітко визначені процеси і вимоги до них, описаний інструментарій для практичної реалізації завдань. І звісно ж приведені практичні рекомендації по управлінню IT-безпекою.
COBIT включає 5 областей управління ризиками:
Основні принципи архітектури COBIT:
Фактично, COBIT творить ідельну систему управління компанією та бізнес-процесами, де безпека, аудит, постійні покращення та вдосконалення посідають чільне місце.
NIST (National Institute of Standarts and Technology) Cybersecurity Framework – один з найбільш впливових та визнаних світовою спільнотою фреймворків безпеки інформаційних систем, розроблений на державному рівні в США. Містить перелік кращих практик і рекомендацій з кібербезпеки. Існує велика кількість версій фреймворка, в залежності від типу і роду діяльності організації. Ми зупинимося на найпопулярнішій з них – серія NIST 800-53, яка включає близько 20-ти розділів управління кібербезпекою:
ETSI (European Telecommunications Standards Institute) – некомерційна організація, яка бере свій початок у 1986 році. Займається дослідженням, розробкою, тестуванням та запроваджуванням телекомунікаційних та ІТ-стандартів, які застосовуються на всій території Європейського Союзу (ЄС). В організацію входять близькл 900 учасників з більше, ніж 65 країн і 5-ти континентів світу.
ETSI розробила безліч стандартів, однак на увагу заслуговує технічний звіт ТР 103 305-1 “Critical Security Controls for Effective Cyber Defence” (Критичний контроль безпеки для ефективного кіберзахисту), який складається з кількох частин:
ENISA (European Union Agency for Cybersecurity) – міжнародна європейська організація, яка сприяє розвитку та поширенню стандартів кібербезпеки серед країн ЄС. Основою є фреймворк National Capabilities Assessment Framework (NCAF), який пропонує країнам спосіб оцінити свою кібербезпеку, даючи їм керівні принципи для розробки національних стратегій. Загалом, фреймворк доволі об’ємний та охоплює такі теми:
FAIR Institute є некомерційною організацією, місія якої полягає у створенні та просуванні найкращих практик управління ризиками, щоб фахівці могли краще співпрацювати зі своїми бізнес-партнерами. Фреймворк FAIR застосовує чіткий підхід до управління ризиками.
FAIR визначає шість видів збитків:
Загрози класифікуються за характером дії:
Загалом, FAIR більше всього пов’язаний з управлінням ризиків, пов’язаних з корпоративними процесами, тобто бізнесом.
HITRUST CSF – потужний фреймворк з організації безпеки, створений для забезпечення конфіденційності на основі різних ризиків та стандартів, зокрема HIPAA, GDPR, PCI-DSS. Складається з 49 цілей контролю за 156 специфікаціями управління, всі з яких належать до однієї з наступних 14 категорій контролю:
ISF (Information Security Forum) – некомерційна організація, члени якої складаються з компаній зі списків Fortune 500 і Forbes 2000. Організація зосереджується на створенні обміну знаннями, де члени вирішують питання безпеки, досвід та практичні рішення. Особливого значення має розроблений ISF фрейворк з кібербезпеки SOGP 2020, який включає багато принципів і цілей:
ISA/IEC 62443 – це серія міжнародних стандартів безпеки для промислових систем автоматизованого управління, розроблена комітетом ISA (International Society of Automation, заснований у 1945 році) і прийнята Міжнародною електротехнічною комісією (IEC). Забезпечує гнучку структуру для усунення та пом’якшення поточних і майбутніх вразливостей, ризиків безпеки в системах промислової автоматизації та контролю (IACS). Комітет спирається на внесок і знання експертів з безпеки IACS з усього світу.
Фреймворк серії ISA-62443-4-2 Security for Industrial Automation and Control Systems: Technical Security Requirements for IACS Components (Безпека для промислової автоматизації та систем управління: технічні вимоги безпеки для компонентів IACS) використовує стандарти CIP Security й надає технічні вимоги кібербезпеки для компонентів, які складають автоматизовані системи керування (АСУ-ТП), зокрема вбудованих пристроїв, мережевих компонентів, хост-компонентів та програмних додатків. Фреймворк є багатошаровим та містить чимало рівнів безпеки. Чималу увагу в ньому зосереджено на контролі доступу, авторизації і аутентифікації.
Усього існує 7 вимог IEC 62443:
CIIP розшифровується як Critical Information Infrastructure Protection, фреймворк створено міжнародною організацією ITU (International Telecommunications Union), містить всеохоплюючу стратегію безпеки, включаючи:
IoTSF (IoT Security Foubdation) є некомерційною міжнародною організацією, яка об’єднує фахівців з безпеки IoT пристроїв, постачальників апаратного та програмного забезпечення IoT, постачальників мереж, системних конкретизаторів, інтеграторів, дистриб’юторів, роздрібних торговців, страховиків, місцевих органів влади та державних установ. Організацією були випущені цілий ряд фреймворків з бепзеки, які повністю охоплюють безпеку IoT (підключених до інтернету цифрових пристроїв). Можна виділити 6 ключових тем, на яких акцентується IoTSF:
ISO – є апологетом серед усіх існуючих стандартів безпеки. Один з найстаріших, заснований у далекому 1947 році, він містить численні правила і регуляції для менеджменту і управління ризиками. У цьому плані важливою є серія стандартів ISO 27000, зокрема ISO 27001 – включає вимоги до встановлення, впровадження, підтримки та постійного затвердження СУІБ. Його найкращі практики включають 114 правил (controls) у 14 групах:
Описувати більш детально ISO 27001 немає сенсу, адже це один з найпопулярніших та найпрестижніших на сьогодні фреймворків, який активно застосовується в різних країнах світу, зокрема й Україні.
MITRE – некомерційна організація, яка досліджує і популяризує безпеку, заснована федеральною агенцією США. Організацією були випущені фреймворки з кібербезпеки: MITRE ATT&CK та MITRE D3FEND, що визначають тактику нападу та тактику захисту відповідно. Обидва фреймворки добре напрацьовані (складаються з багатьох матриць-розділів), об’ємні та ефективні, відповідають сучасним зразкам кібербезпеки. Варто наголосити на необхідності створення україномовних версій цих фреймворків.
NCSC CAF розшифровується як National Cyber Security Centre (NCSC) Cyber Assesment Framework (CAF). Є фреймворком з кібербезпеки Сполученого Королівства Великобританії. Складається з 4-х об’єктивних частин:
Вони, у свою чергу, складаються ще з 14 принципів (підрозділів):
New Zealand Protective Security Requirements (PSR) – фреймворк з кібербезпеки Нової Зеландії, складається з рекомендацій управлінням безпекою в різних секторах: державному (GOVSEC), управління персоналом (PERSEC), інформаційному (INFOSEC) та фізичному (PHYSEC). Фреймворк відзначається компактністю, простотою, чіткістю і зрозумілістю.
Ключові тези New Zealand PSR:
SAMA CSF розшифровується як Saudi Arabian Monetary Authority (SAMA) Cybersecurity Framework. Фреймворк був створений урядом Саудівської Аравії у відповідь на появу нових ризиків та вразливостей в онлайн-сервісах і технологіях, таких як фінтех і блокчейн. Досить добре спланований та структурований.
Цілі фреймворка SAMA CSF:
Основні сфери впливу та захисту:
NERC (North American Electric Reliability Corporation) є некомерційним міжнародним регулюючим органом, орієнтованим на ефективне виправлення ризиків, що стоять перед енергосистемою. Його юрисдикція включає оптових користувачів енергосистеми, власників та операторів. Фреймворк складається з 19-ти керівництв безпеки:
Payment Card Industry Data Security Standard (PCI DSS) – це Рада зі стандартів безпеки промисловості платіжних карт, заснована у 2006 році як відповідь на збільшення шахрайства з кредитними картками. До неї входять 5 найбільших платіжних сервісів: American Express, Discover, JCB International, Mastercard та Visa. PCI DSS регулює безпеку платіжних операцій та містить основи керування ризиками в фінансових установах і організаціях. Включає такі категорії:
Бачимо, наскільки важливими, цікавими та корисними є популярні фреймворки з кібербезпеки. Власне, ці системи будуть корисними не тільки спеціалістам з безпеки, а й кожному з нас, адже вчать правильно поводитися, приймати рішення, планувати, оцінювати, прогнозувати. Ризик-орієнтований підхід у всьому на сьогодні надзвичайно важливий. Звгалом, якщо підсумувати, то усі фреймворки приблизно зводяться до єдиної схеми: Фізична і апаратна безпека + Програмна безпека + Інформаційна безпека.
Отже, фреймворки з кібербезпеки – це запорука успішності будь-якого бізнесу, установи або організації, незалежно від виду діяльності.
Підписуйтесь на новини та отримуйте нові публікації на свою електронну пошту!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!