Реализация Федерального закона США об управлении информационной безопасностью (FISMA) Стратегия, вызовы и дорожная карта 30 января 2007 года Д-р Рон Росс Отдел компьютерной безопасности Лаборатории информационных технологий Национальный институт стандартов и технологий 1 Глобальная угроза Информационная безопасность является не только работой с документами… есть опасные противники, которые могут запустить серьезные атаки против наших информационных систем; эти атаки могут нанести серьезный или даже разрушительный ущерб критически важной государственной информационной инфраструктуре и, в конечном счете, представлять угрозу экономической и национальной безопасности … Национальный институт стандартов и технологий 2 Критически важная инфраструктура США Определение “...системы и активы, как физические, так и виртуальные, которые являются настолько важными для США, что бездействие или разрушение таких систем и активов может оказать ослабляющее действие на безопасность, национальную экономическую безопасность, здоровье и безопасность населения или любую комбинацию указанных вопросов.” -- Закон о борьбе с терроризмом в США (№ 107-56) Национальный институт стандартов и технологий 3 Критически важная инфраструктура США Примеры Системы энергоснабжения (электроэнергия, ядерная энергия, нефтегазовая, плотины) Транспорт (воздушный, автомобильный, железнодорожный, порты, водные пути) Системы здравоохранения / Аварийные службы ИТ и телекоммуникации Оборонная промышленность Банковское дело и финансы Почта и грузовые перевозки Сельское хозяйство / Продовольствие / Вода Химические препараты Национальный институт стандартов и технологий 4 Федеральный закон об управлении информационной безопасностью Обзор “Все федеральные ведомства должны разработать, оформить и реализовать внутриведомственную программу информационной безопасности, целью которой будет являться обеспечение безопасности информации и информационных систем, поддерживающих деятельность и активы ведомства, включая информационные системы, предоставляемые или контролируемые другими ведомствами, подрядчиками или другими сторонами…” -- Федеральный закон об управлении информационной безопасностью, 2002 г. Национальный институт стандартов и технологий 5 Видение FISMA Мы строим прочную основу информационной безопасности в крупнейшей информационной инфраструктуре в мире на основании всесторонних стандартов безопасности и технического руководства. Мы институционализируем комплексные рамки по управлению рисками, способствующей разработке и реализации федеральными ведомствами гибких и экономически целесообразных программ по обеспечению информационной безопасности. Мы создаем фундаментальный уровень «должного отношения к обеспечению безопасности» для федеральных ведомств и их подрядчиков на основании минимальных требований и мер обеспечения безопасности. Национальный институт стандартов и технологий 6 Желаемое конечное состояние Видимость безопасности среди партнеров по деятельности или миссии Организация 1 Информационная система Организация 2 Информационные потоки по деятельности/ Информационная система миссии План безопасности системы Отчет по оценке безопасности План мероприятий и график Определение степени риска для деятельности и активов Организации 1 и приемлемости такого риска План безопасности системы Информация по обеспечению безопасности Отчет по оценке безопасности План мероприятий и график Определение степени риска для деятельности и активов Организации 2 и приемлемости такого риска Цель состоит в том, чтобы обеспечить видимость в соответствующих программах партнеров по обеспечению безопасности ДО начала связи, требующей защиты …установление уровней должного отношения к обеспечению безопасности и доверия. Национальный институт стандартов и технологий 7 Программа информационной безопасности Звенья цепи обеспечения безопасности: организационные, эксплуатационные и технические меры Оценка рисков Планирование безопасности Политика и процедуры обеспечения безопасности Планирование действий на непредвиденный случай Планирование аварийного реагирования Информирование и обучение по вопросам безопасности Физическая безопасность Безопасность персонала Сертификация, аккредитация и Противники оценки безопасности Механизмы контроля доступа Механизмы идентификации и аутентификации (биометрия, маркеры, пароли) Механизмы аудита Механизмы кодирования Межсетевые экраны и механизмы сетевой безопасности Системы обнаружения вторжений Параметры конфигурации безопасности Антивирусное программное обеспечение Смарт-карты атакуют наиболее слабое звено .. Где ваше слабое звено? Национальный институт стандартов и технологий 8 Управление рисками на уровне организации Основные виды деятельности по управлению рисками на уровне организации – рисками, вытекающими из деятельности информационной системы : Классификация информационной системы (по степени критичности/чувствительности) Выбор и кастомизация минимальных (базовых) средств контроля безопасности Дополнение средств контроля безопасности по результатам оценки рисков Документирование средств контроля безопасности в плане по обеспечению безопасности системы Реализация мер обеспечения безопасности в информационной системе Оценка мер обеспечения безопасности на предмет их эффективности Определение риска на уровне организации и степени приемлемости риска Санкционирование работы информационной системы Мониторинг мер обеспечения безопасности на постоянной основе Национальный институт стандартов и технологий 9 Основные стандарты и руководства Стандарт FIPS 199 (Классификация безопасности) Стандарт FIPS 200 (Минимальные требования по безопасности) Стандарт NIST 800-18 (Составление планов безопасности) Стандарт NIST 800-30 (Управление рисками) Стандарт NIST 800-37 (Сертификация и аккредитация) Стандарт NIST 800-53 (Рекомендуемые меры обеспечения безопасности) Стандарт NIST 800-53A (Оценка мер обеспечения безопасности) Стандарт NIST 800-59 (Системы национальной безопасности) Стандарт NIST 800-60 (Отображение типов информации и ИС к категориям безопасности) Многие другие публикации FIPS и NIST включают стандарты и руководства по обеспечению безопасности в поддержку FISMA … Национальный институт стандартов и технологий 10 Структура управления рисками Отправная точка FIPS 199 / SP 800-60 SP 800-37 / SP 8800-53A Мониторинг мер обеспечения безопасности Постоянное отслеживание изменений в ИС, которые могут повлиять на меры обеспечения безопасности и переоценка эффективности таких мер Классификация безопасности Определение степени критичности/чувствительности ИС в соответствие с потенциальным воздействием утери FIPS 200 / SP 800-53 Выбор мер обеспечения безопасности Выбор минимальных (базовых) мер обеспечения безопасности для защиты ИС; применение по обстановке руководства по кастомизации SP 800-37 FIPS 200 / SP 800-53 / SP 800-30 Санкционирова ние системы Улучшение мер обеспечения безопасности Определение риска для деятельности организации, ее активов или персонала и в случае приемлемости риска, санкционирование работы системы SP 800-53A Оценка мер обеспечения безопасности Определение эффективности мер обеспечения безопасности (н-р, правильность реализации мер, надлежащее функционирование, удовлетворение требований безопасности) SP 800-70 Реализация мер обеспечения безопасности Реализация мер обеспечения безопасности; применение параметров конфигурации безопасности Использование результатов оценки рисков для дополнения кастомизированных базовых мер обеспечения безопасности по мере необходимости для обеспечения адекватных мер безопасности и должного отношения SP 800-18 Документирование мер обеспечения безопасности Документирование в плане безопасности требований по безопасности к информационной системе и имеющихся или планируемых мер обеспечения безопасности Национальный институт стандартов и технологий 11 Классификация безопасности Пример: Информационная система организации FIPS 199 Отображение типов информации к категориям безопасности, определенным в FIPS 199 Конфиденциаль ность SP 800-60 Целостность Наличие (эксплуатацион ная готовность) Низкий Средний Высокий Можно ожидать, что потеря конфиденциальности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря конфиденциальности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря конфиденциальности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что Можно ожидать, что Можно ожидать, что снижение снижение снижение эксплуатационной эксплуатационной эксплуатационной готовности окажет готовности окажет готовности окажет ограниченное негативное серьезное негативное сильное или влияние на деятельность влияние на деятельность разрушающее негативное организации, активы организации, активы влияние на деятельность Национальный стандартов и технологий организации или ее организации или институт ее организации, активы персонал. персонал. организации или ее персонал. 12 Классификация безопасности Пример: Информационная система организации FIPS 199 Конфиденциал ьность Целостность Наличие (эксплуатацион ная готовность) Низкий Средний Высокий Можно ожидать, что потеря конфиденциальности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал Можно ожидать, что потеря конфиденциальности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал Можно ожидать, что потеря конфиденциальности окажет негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет ограниченное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет серьезное негативное влияние на деятельность организации, активы организации или ее персонал. Можно ожидать, что потеря целостности окажет сильное или разрушительное негативное влияние на деятельность организации, активы организации или ее персонал. FIPS 200 Минимальные меры обеспечения безопасности для систем, на которое влияние будет средним SP 800-53 Можно ожидать, что Можно ожидать, что Можно ожидать, что снижение снижение снижение эксплуатационной эксплуатационной эксплуатационной готовности окажет готовности окажет готовности окажет ограниченное негативное серьезное негативное сильное или влияние на деятельность влияние на деятельность разрушительное организации, активы организации, активы негативное влияние на организации или ее организации или ее деятельность организации, Национальный институт активы стандартов технологий персонал. персонал. организациииили ее персонал. 13 Минимальные требования по безопасности Требования FISMA Разработать минимальные требования по информационной безопасности к информации и информационным системам для каждой категории безопасности, определенной в FIPS 199 Публикации: Федеральный стандарт для обработки информации (FIPS) Публикация 200, «Минимальные требования к федеральной информации и информационным системам» Итоговая публикация: март 2006 года Национальный институт стандартов и технологий 14 Минимальные меры обеспечения безопасности Разработать минимальные меры обеспечения безопасности (организационные, эксплуатационные и технические) в целях удовлетворения минимальных требований по безопасности, предусмотренных в FIPS 200 Публикации : NIST 800-53 «Рекомендуемые меры обеспечения безопасности для федеральных информационных систем» Итоговая публикация: февраль 2005 года* * SP 800-53, пересм. версия 1 должна быть опубликована в декабре 2006 года. Национальный институт стандартов и технологий 15 Минимальные меры обеспечения безопасности Минимальные меры обеспечения безопасности или базовые меры, определенные для информационных систем, характеризуемых как имеющее низкий, средний и высокий уровень воздействия— Обеспечение отправной точки для организаций в процессе отбора мер обеспечения безопасности Используются в совокупности с руководством по кастомизации, которое позволяет подстроить базовые меры к конкретным условиям эксплуатации Поддержка реализуемого организацией процесса управления рисками Национальный институт стандартов и технологий 16 Базовые меры обеспечения безопасности Сводный каталог мер обеспечения безопасности Полный перечень мер обеспечения безопасности и их расширений Минимальные меры обеспечения безопасности Минимальные меры обеспечения безопасности Минимальные меры обеспечения безопасности ИС низкого уровня воздействия ИС среднего уровня воздействия ИС высокого уровня воздействия База #1 База #2 База #3 Выбор комплекса мер обеспечения безопасности из Сводного каталога, состоящего из мер базового уровня Основывается на низком базовом уровне. Выбор комплекса мер обеспечения из Сводного каталога— меры базового уровня, дополнительные меры и расширенные меры Основывается на среднем базовом уровне. Выбор комплекса мер обеспечения из Сводного каталога— меры базового уровня, дополнительные меры и расширенные меры Национальный институт стандартов и технологий 17 Кастомизация мер обеспечения безопасности Анализ требований, определение параметров и соответствующие меры Минимальные меры по обеспечению безопасности Минимальные меры по обеспечению безопасности Минимальные меры по обеспечению безопасности ИC низкого уровня воздействия ИC низкого уровня воздействия BC низкого уровня воздействия Низкий уровень базовый Средний уровень базовый Высокий уровень базовый Кастомизированные меры обеспечения безопасности Кастомизированные меры обеспечения безопасности Кастомизированные меры обеспечения безопасности Организация #1 Организация #2 Организация #3 Эксплуатационная среда #2 Эксплуатационная среда #3 Эксплуатационная среда #1 Экономически эффективный, основанный на рисках подход к достижению адекватной информационной безопасности … Национальный институт стандартов и технологий 18 Отслеживаемость требований Требования по безопасности высокого уровня Исходя из законодательства, указов президента, политики, директив, регулирования и стандартов Примеры: HIPAA, Закон Грэхема-Лича-Биллея, Акт Сарбаниса-Оксли, FISMA, Директива А-130 Административно-бюджетного управления США Меры обеспечения безопасности FIPS 200 / SP 800-53 Меры обеспечения безопасности FIPS 200 / SP 800-53 Меры обеспечения безопасности FIPS 200 / SP 800-53 Организация #1 Организация #2 Организация #3 Какой комплекс мер обеспечения безопасности, в случае его реализации в информационной системе и подтверждения его эффективности, может продемонстрировать соответствие конкретному набору требований по безопасности? Национальный институт стандартов и технологий 19 Золотые правила Создание эффективной программы информационной безопасности организации Разработайте стратегию информационной безопасности организации и «план игры» Обеспечьте корпоративное участие в программе информационной безопасности организации - эффективные программы начинаются сверху Интегрируйте информационную безопасность в инфраструктуру организации Установите уровень «должного отношения» к информационной безопасности Вначале сконцентрируйтесь на воздействии на миссию/деятельность – вносите информацию об угрозах только в случае ее конкретности и надежности Национальный институт стандартов и технологий 20 Золотые правила Создание эффективной программы информационной безопасности организации Создайте сбалансированную программу информационной безопасности с организационными, эксплуатационными и техническими мерами обеспечения безопасности Сначала используйте прочный фундамент мер обеспечения безопасности и затем достраивайте этот фундамент, руководствуясь оценкой рисков Избегайте сложных и дорогостоящих оценок рисков, которые опираются на сомнительные предположения и непроверенные данные Укрепите мишень; поставьте несколько барьеров между противником и информационными системами организации Будьте хорошим потребителем – остерегайтесь поставщиков, пытающихся продать «односторонние решения» для проблем безопасности организации Национальный институт стандартов и технологий 21 Золотые правила Создание эффективной программы информационной безопасности организации Не загружайтесь огромностью или сложностью проблемы информационной безопасности – работайте над ней не спеша и опирайтесь на небольшие успехи Не терпите безразличие к проблемам информационной безопасности организации И, наконец,… Управляйте рисками организации – не пытайтесь избегать их! Национальный институт стандартов и технологий 22 Контактная информация 100 Bureau Drive Mailstop 8930 Gaithersburg, MD USA 20899-8930 Руководитель проекта Административная поддержка Д-р Рон Росс (301) 975-5390 [email protected] Пегги Хаймс (301) 975-2489 [email protected] Старшие научные сотрудники по информационной безопасности и техническая поддержка Марианна Свонсон Д-р Сту Кацке (301) 975-3293 (301) 975-4768 [email protected] [email protected] Пэт Тос (301) 975-5140 [email protected] Арнольд Джонсон (301) 975-3247 [email protected] Мэтт Шол (301) 975-2941 [email protected] Информация и обратная связь Web: csrc.nist.gov/sec-cert Комментарии: [email protected] Национальный институт стандартов и технологий 23