Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Безпека веб-серверів, Cloud-платформ.
Надійний захист від атак відмова в обслуговуванні
Комплексний захист електронних ресурсів.
Пошук та видалення вірусів на веб-сайтах.
Захист та рішення безпеки для сайтів на WordPress.
Пентест сайтів і веб-додатків.
Фреймворк (від англ. framework) – це система, яка являє собою готовий шаблон, каркас або еталон, який можна застосовувати на практиці для здійснення тих чи інших дій, операцій. У даному контексті мова піде про фреймворки з кібербезпеки. Вони містять буквально усе, що потрібно для управління інформаційною та кібербезпекою: рекомендації та правила, сертифікації, методології, концепції, рішення, інструменти. Завдяки cybersecurity-фреймворкам будь-який бізнес, установа чи організація мають змогу бути надійно захищеними й відповідати міжнародним стандартам.
Фреймворк з кібербезпеки – це фундамент, “дорожня карта”, яка дає чіткі правила і вказівки як реагувати на інциденти, як оцінювати ризики та здійснювати політику безпеки. Саме тому у багатьох країнах світу фреймворки з кібербезпеки є обов’язковим стандартом, якого слід дотримуватися всюди: в компаніях, організаціях, на підприємствах, держустановах. Аби зрозуміти, який cybersecurity framework обрати, від чого відштовхнутися у своїй практиці, пропонуємо проаналізувати кращі рішення.
ACSC розшифровуєттся як Australian Cyber Security Center (Австралійський центр з кібербезпеки). Намагаючись значно підвищити стійкість австралійського бізнесу до кібернетики, федеральний уряд Австралії зобов’язав дотримуватися 8 засобів контролю кібербезпеки, що отримали назву – Essential 8.
Ці 8 стратегій складаються з наступних частин:
Відповідність цим критеріям оцінюється трирівневою шкалою “зрілості”:
Такий поділ дозволяє організаціям визначити свій поточний стан відповідності вимогам з кібербезпеки та розуміти, які конкретно зусилля необхідні для просування далі по цьому фреймворку.
CIS Critical Security Controls – це збірка найкращих практичних порад і рекомендацій з комп’ютерної безпеки. Проєкт було розпочато у 2008 році Інститутом SANS (США). Потім право власності було передане Раді з кібербезпеки США (CCS) у 2013 році, а у 2015 році передане організації Центр Інтернет-безпеки (Center for Internet Security, CIS). Початково фреймворк був відомий як Рекомендації з аудиту консенсусу, а також як SANS Critical Security Controls (SANS Top 20).
CIS Controls v8 об’єднує та консолідує 18 правил з кібербезпеки (у попередній редакції було 20-ть, але деякі пункти відкинули):
CSA Cloud Controls Matrix (CCM) — це фреймворк з кібербезпеки для хмарних обчислень і платформ, розроблений організацією Cloud Security Alliance (CSA) відповідно до керівництва Security Guidance for Critical Areas of Focus in Cloud Computing v4.0. Складається зі 197-ти цілей управління і контролю, структуровані в 17 областях, що охоплюють усі ключові аспекти хмарних технологій.
Перелік CSA Controls:
COBIT (Control Objectives for Information Technology) – ІТ-стандарт і фреймворк з кібербезпеки, розроблений ISACA (Асоціація аудиту та контролю інформаційних систем). Вперше був виданий у 1996 році, у 2012 році відбувся реліз COBIT 5, який оновили у 2019 році.
Стандарт сприяє чіткішій координації дій ІТ-департаменту та керівництва компанії, об’єднує в собі ряд інших стандартів, що дозволяє на високому рівні отримувати інформацію про стан ІТ та управляти цілями і задачами. Головне завдання COBIT – ліквідація розриву між баченням керівництва компанії і IT-департаментом. В COBIT детально описані цілі, принципи і об’єкти управління, чітко визначені процеси і вимоги до них, описаний інструментарій для практичної реалізації завдань. І звісно ж приведені практичні рекомендації по управлінню IT-безпекою.
COBIT включає 5 областей управління ризиками:
Основні принципи архітектури COBIT:
Фактично, COBIT творить ідеальну систему управління компанією та бізнес-процесами, де безпека, аудит, постійні покращення та вдосконалення посідають чільне місце.
NIST (National Institute of Standarts and Technology) Cybersecurity Framework – один з найбільш впливових та визнаних світовою спільнотою фреймворків безпеки інформаційних систем, розроблений на державному рівні в США. Містить перелік кращих практик і рекомендацій з кібербезпеки. Існує велика кількість версій фреймворка, в залежності від типу і роду діяльності організації. Ми зупинимося на найпопулярнішій з них – серія NIST 800-53, яка включає близько 20-ти розділів управління кібербезпекою.
Перелік розділів NIST:
ETSI (European Telecommunications Standards Institute) – некомерційна організація, яка бере свій початок у 1986 році. Займається дослідженням, розробкою, тестуванням та запроваджуванням телекомунікаційних та ІТ-стандартів, які застосовуються на всій території Європейського Союзу (ЄС). В організацію входять близькл 900 учасників з більше, ніж 65 країн і 5-ти континентів світу.
ETSI розробила безліч стандартів, однак на увагу заслуговує технічний звіт ТР 103 305-1 “Critical Security Controls for Effective Cyber Defence” (Критичний контроль безпеки для ефективного кіберзахисту), який складається з кількох частин:
ENISA (European Union Agency for Cybersecurity) – міжнародна європейська організація, яка сприяє розвитку та поширенню стандартів кібербезпеки серед країн ЄС. Основою є фреймворк National Capabilities Assessment Framework (NCAF), який пропонує країнам спосіб оцінити свою кібербезпеку, даючи їм керівні принципи для розробки національних стратегій.
Фреймворк ENISA охоплює такі теми:
FAIR Institute є некомерційною організацією, місія якої полягає у створенні та просуванні найкращих практик управління ризиками, щоб фахівці могли краще співпрацювати зі своїми бізнес-партнерами. Фреймворк FAIR застосовує чіткий підхід до управління ризиками.
FAIR визначає 6 видів збитків:
Загрози класифікуються за характером дії:
Загалом, FAIR найбільше пов’язаний з управлінням ризиків, пов’язаних з корпоративними процесами, тобто бізнесом.
HITRUST CSF – потужний фреймворк з організації безпеки, створений для забезпечення конфіденційності на основі різних ризиків та стандартів, зокрема HIPAA, GDPR, PCI-DSS. Складається з 49 цілей контролю за 156 специфікаціями управління, які є частинами 14 категорій контролю безпеки.
ISF (Information Security Forum) – закрита організація, члени якої складаються з VIP-представників, які входять до списків Fortune 500 і Forbes 2000. Організація зосереджується на обговоренні питань безпеки, обміну досвідом та практичними рішеннями. Особливого значення має розроблений ISF фрейворк з кібербезпеки SOGP 2020, який включає чимало корисних принципів і цілей.
ISA/IEC 62443 – це серія міжнародних стандартів безпеки для промислових систем автоматизованого управління, розроблена комітетом ISA (International Society of Automation, заснований у 1945 році) і прийнята Міжнародною електротехнічною комісією (IEC). Забезпечує гнучку структуру для усунення та пом’якшення поточних і майбутніх вразливостей, ризиків безпеки в системах промислової автоматизації та контролю (IACS). Комітет спирається на внесок і знання експертів з безпеки IACS з усього світу.
Фреймворк серії ISA-62443-4-2 Security for Industrial Automation and Control Systems: Technical Security Requirements for IACS Components (Безпека для промислової автоматизації та систем управління: технічні вимоги безпеки для компонентів IACS) використовує стандарти CIP Security й надає технічні вимоги кібербезпеки для компонентів, які складають автоматизовані системи керування (АСУ-ТП), зокрема вбудованих пристроїв, мережевих компонентів, хост-компонентів та програмних додатків. Фреймворк є багатошаровим та містить чимало рівнів безпеки. Чималу увагу в ньому зосереджено на контролі доступу, авторизації й аутентифікації.
Існує 7 вимог IEC 62443:
CIIP розшифровується як Critical Information Infrastructure Protection, фреймворк створено міжнародною організацією ITU (International Telecommunications Union), містить всеохоплюючу стратегію безпеки.
CIIP включає такі пункти:
IoTSF (IoT Security Foundation) – некомерційна міжнародна організація, що об’єднує фахівців з безпеки IoT пристроїв, постачальників апаратного та програмного забезпечення IoT, постачальників мереж, системних конкретизаторів, інтеграторів, дистриб’юторів, роздрібних торговців, страховиків, місцевих органів влади та державних установ. Організацією було випущено ряд фреймворків з безпеки, які повністю охоплюють IoT (підключені до інтернету цифрові пристрої).
Можна виділити 6 ключових тем, на яких акцентується IoTSF:
ISO – є апологетом серед усіх існуючих стандартів безпеки. Один з найстаріших, заснований у далекому 1947 році, він містить численні правила і регуляції для менеджменту і управління ризиками. У цьому плані важливою є серія стандартів ISO 27000, зокрема ISO 27001 – включає вимоги до встановлення, впровадження, підтримки та постійного затвердження СУІБ.
Практики ISO 27001 включають 114 правил (controls) у 14 групах:
Описувати більш детально ISO 27001 немає сенсу, адже це один з найпопулярніших та найпрестижніших фреймворків з кібербезпеки, який активно застосовується в різних куточках світу, зокрема в Україні.
MITRE – некомерційна організація, яка досліджує і популяризує безпеку, заснована федеральною агенцією США. Організацією були випущені фреймворки з кібербезпеки: MITRE ATT&CK та MITRE D3FEND, що визначають тактику нападу та тактику захисту відповідно. Обидва фреймворки добре напрацьовані (складаються з багатьох матриць-розділів), об’ємні та ефективні, відповідають сучасним зразкам кібербезпеки. Варто наголосити на необхідності створення україномовних версій цих фреймворків.
NCSC CAF розшифровується як National Cyber Security Centre (NCSC) Cyber Assesment Framework (CAF). Є фреймворком з кібербезпеки Сполученого Королівства Великобританії.
NCSC CAF складається з 4-х об’єктивних частин:
Вони, у свою чергу, складаються ще з 14 підрозділів:
New Zealand Protective Security Requirements (PSR) – фреймворк з кібербезпеки Нової Зеландії, складається з рекомендацій управлінням безпекою в різних секторах: державному (GOVSEC), управління персоналом (PERSEC), інформаційному (INFOSEC) та фізичному (PHYSEC). Фреймворк відзначається компактністю, простотою, чіткістю і зрозумілістю.
Ключові тези New Zealand PSR:
SAMA CSF розшифровується як Saudi Arabian Monetary Authority (SAMA) Cybersecurity Framework. Фреймворк був створений урядом Саудівської Аравії у відповідь на появу нових ризиків та вразливостей в онлайн-сервісах і технологіях, таких як фінтех і блокчейн. Досить добре спланований та структурований.
Цілі фреймворку SAMA CSF:
Основні сфери впливу та захисту:
NERC (North American Electric Reliability Corporation) є некомерційним міжнародним регулюючим органом, орієнтованим на ефективне виправлення ризиків, що стоять перед енергосистемою. Його юрисдикція включає оптових користувачів енергосистеми, власників та операторів.
Фреймворк складається з 19-ти керівництв безпеки
Payment Card Industry Data Security Standard (PCI DSS) – це Рада зі стандартів безпеки промисловості платіжних карт, заснована у 2006 році як відповідь на збільшення шахрайства з кредитними картками. До неї входять 5 найбільших платіжних сервісів: American Express, Discover, JCB International, Mastercard та Visa. PCI DSS регулює безпеку платіжних операцій та містить основи керування ризиками в фінансових установах і організаціях.
PCI-DSS включає такі категорії:
Бачимо, наскільки важливими, цікавими та корисними є фреймворки з кібербезпеки. Ці системи розроблені кращими головами світу й знадобляться не лише фахівцям з ІТ-безпеки, а й кожному з нас, адже вчать системно та інтелектуально підходити до виконання своїх завдань. Ризик-орієнтований підхід на сьогодні є абсолютно виправданим. Якщо підсумувати, то усі фреймворки приблизно зводяться до єдиної схеми: Фізична безпека + Апаратна безпека + Програмна безпека + Інформаційна безпека.
Отже, фреймворки з кібербезпеки – це запорука успішності будь-якого бізнесу, системи, установи або організації, незалежно від виду діяльності.
ПОДІЛИТИСЬ У СОЦМЕРЕЖАХ:
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!