Controale de securitate - Security controls

Controalele de securitate sunt garanții sau contramăsuri pentru a evita, detecta, contracara sau minimiza riscurile de securitate pentru proprietatea fizică, informațiile, sistemele informatice sau alte active. În domeniul securității informațiilor , astfel de controale protejează confidențialitatea, integritatea și disponibilitatea informațiilor .

Sistemele de control pot fi denumite cadre sau standarde. Cadrele pot permite unei organizații să gestioneze cu coerență controalele de securitate pentru diferite tipuri de active.

Tipuri de controale de securitate

Controalele de securitate pot fi clasificate după diferite criterii. De exemplu, controalele sunt clasificate ocazional după când acționează în raport cu o încălcare a securității:

• Înainte de eveniment, controalele preventive sunt menite să prevină apariția unui incident, de exemplu prin blocarea intrușilor neautorizați;
• În timpul evenimentului, controalele detectivilor sunt destinate să identifice și să caracterizeze un incident în curs de desfășurare, de exemplu, prin sunetul alarmei intrușilor și alertarea agenților de securitate sau a poliției;
• După eveniment, controalele corective sunt destinate să limiteze amploarea oricăror daune cauzate de incident, de exemplu prin recuperarea organizației la starea normală de lucru cât mai eficient posibil.

Controalele de securitate pot fi, de asemenea, clasificate în funcție de caracteristicile lor, de exemplu:

• Controale fizice de ex. garduri, uși, încuietori și stingătoare;
• Controale procedurale sau administrative de ex. procesele de răspuns la incidente, supravegherea managementului, conștientizarea securității și instruirea;
• Controale tehnice sau logice de ex. autentificare utilizator (autentificare) și controale logice de acces, software antivirus, firewall-uri;
• Controale legale și de reglementare sau de conformitate, de ex. legile, politicile și clauzele privind confidențialitatea.

Pentru mai multe informații despre controalele de securitate în calcul, consultați Apărarea în profunzime (calcul) și Securitatea informațiilor

Standarde de securitate a informațiilor și cadre de control

Numeroase standarde de securitate a informațiilor promovează bune practici de securitate și definesc cadre sau sisteme pentru a structura analiza și proiectarea pentru gestionarea controalelor de securitate a informațiilor. Unele dintre cele mai cunoscute standarde sunt prezentate mai jos.

Organizația internațională pentru standarde

ISO / IEC 27001 specifică 114 controale în 14 grupuri:

• A.5: Politici de securitate a informațiilor
• A.6: Cum este organizată securitatea informațiilor
• A.7: Securitatea resurselor umane - controale aplicate înainte, în timpul sau după angajare.
• A.8: Gestionarea activelor
• A.9: Controlul accesului și gestionarea accesului utilizatorilor
• A.10: Tehnologia criptografică
• A.11: Securitatea fizică a amplasamentelor și echipamentelor organizației
• A.12: Securitate operațională
• A.13: Comunicări sigure și transfer de date
• A.14: Achiziționarea, dezvoltarea și sprijinirea în siguranță a sistemelor informatice
• A.15: Securitate pentru furnizori și terți
• A.16: Gestionarea incidentelor
• A.17: Continuitatea activității / recuperarea în caz de dezastru (în măsura în care afectează securitatea informațiilor)
• A.18: Conformitate - cu cerințele interne, cum ar fi politicile, și cu cerințele externe, cum ar fi legile.

Standardele de securitate a informațiilor guvernului federal al SUA

Standardele federale de procesare a informațiilor (FIPS) se aplică tuturor agențiilor guvernamentale din SUA. Cu toate acestea, anumite sisteme de securitate națională, sub controlul Comitetului pentru sisteme de securitate națională , sunt gestionate în afara acestor standarde.

Standardul de procesare a informațiilor federale 200 (FIPS 200), „Cerințe minime de securitate pentru sistemele de informații și informații federale”, specifică controalele minime de securitate pentru sistemele informatice federale și procesele prin care are loc selectarea bazată pe risc a controalelor de securitate. Catalogul controalelor minime de securitate se găsește în publicația specială NIST SP 800-53 .

FIPS 200 identifică 17 familii de control larg:

1. Control acces AC.
2. AT Awareness and Training.
3. Auditul și responsabilitatea UA.
4. Evaluarea și autorizarea securității CA. (prescurtare istorică)
5. Managementul configurației CM.
6. Planificarea de urgență CP.
7. Identificarea și autentificarea IA.
8. Răspuns la incidente IR.
9. MA Întreținere.
10. MP Media Protection.
11. Protecția fizică și a mediului PE.
12. Planificare PL.
13. Securitatea personalului PS.
14. Evaluarea riscului RA.
15. Achiziție de sistem și servicii SA.
16. Protecția sistemului SC și a comunicațiilor.
17. Integritatea sistemului și a informațiilor SI.

Institutul Național de Standarde și Tehnologie

Cadrul de securitate cibernetică NIST

Un cadru bazat pe maturitate împărțit în cinci zone funcționale și aproximativ 100 de controale individuale în „nucleul” său.

NIST SP-800-53

O bază de date cu aproape o mie de controale tehnice grupate în familii și referințe încrucișate.

• Începând cu Revizuirea 3 din 800-53, au fost identificate controalele de gestionare a programelor. Aceste controale sunt independente de comenzile sistemului, dar sunt necesare pentru un program de securitate eficient.
• Începând cu Revizuirea 4 din 800-53, au fost identificate opt familii de controale de confidențialitate pentru a alinia controalele de securitate la așteptările de confidențialitate ale legii federale.
• Începând cu Revizuirea 5 din 800-53, comenzile abordează, de asemenea, confidențialitatea datelor, așa cum este definită de cadrul de confidențialitate a datelor NIST.

Seturi de control comercial

COBIT5

Un set de control proprietar publicat de ISACA.

• Guvernanța IT pentru întreprinderi
  • Evaluează, direcționează și monitorizează (EDM) - 5 procese
• Managementul IT IT pentru întreprinderi
  • Aliniați, planificați și organizați (APO) - 13 procese
  • Construiți, achiziționați și implementați (BAI) - 10 procese
  • Livrare, service și asistență (DSS) - 6 procese
  • Monitorizați, evaluați și evaluați (MEA) - 3 procese

CSI Top-20

Un set de control licențiat comercial publicat de Centrul pentru Securitate pe Internet.

• 20 de controale dezvoltate de o rețea de voluntari și puse la dispoziție pentru utilizare comercială printr-un acord de licență.

atenuarea ts

Un set de control deschis (Creative Commons) și licențiat comercial din Threat Sketch.

• Deschis: 50 de atenuări ale limbajului de afaceri mapate la o sută de controale NIST Cybersecurity Framework.
• Deschis: 50 de atenuări ale limbajului de afaceri mapate la aproape o mie de controale NIST SP-800-53.

Telecomunicații

În telecomunicații, controalele de securitate sunt definite ca servicii de securitate ca parte a modelului de referință OSI

• Recomandarea UIT-T X.800.
• ISO ISO 7498-2

Acestea sunt aliniate tehnic. Acest model este recunoscut pe scară largă.

Răspunderea datelor (legală, de reglementare, de conformitate)

Intersecția riscului de securitate și legile care stabilesc standarde de îngrijire este locul în care sunt definite responsabilitatea datelor. O mână de baze de date apar pentru a ajuta managerii de risc să cerceteze legile care definesc răspunderea la nivel de țară, provincie / stat și local. În aceste seturi de control, conformitatea cu legile relevante sunt efectele reale de atenuare a riscurilor.

• Diagrama de notificare a încălcării securității Perkins Coie: un set de articole (unul pentru fiecare stat) care definesc cerințele de notificare a încălcării datelor între statele americane.
• Legile privind notificarea încălcărilor de securitate NCSL: o listă a statutelor statului SUA care definesc cerințele de notificare a încălcării datelor.
• jurisdicția: o platformă comercială de cercetare a securității cibernetice cu acoperire a peste 380 de legi statale și federale din SUA care au impact asupra securității cibernetice înainte și după o încălcare. jurisdicția este, de asemenea, asociată cu NIST Cybersecurity Framework.

Cadrele de control al afacerii

Există o gamă largă de cadre și standarde care privesc activitățile interne și controalele între companii, inclusiv:

• SSAE 16
• ISAE 3402
• Standard de securitate a datelor din industria cardurilor de plată
• Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate
• COBIT 4/5
• CSI Top-20
• Cadrul de securitate cibernetică NIST

Vezi si

• Controlul accesului
• contramăsură
• Proiectarea mediului
• Securitatea informațiilor
• Model de referință OSI
• Siguranță fizică
• Risc
• Securitate
• Inginerie de securitate
• Management de securitate
• Servicii de securitate

Referințe

• NIST SP 800-53 Revizuirea 4
• Instrucțiune DoD 8500.2
• Termenii FISMApedia