Прочитал очередной документ по управлению инсайдерской угрозой ИБ о CERT.
Insider Threat Security Reference Architecture (2012)
Документ является логичным продолжением исследований Common Sense Guide to Mitigating Insider Threats и Management and Education of the Risk of Insider Threat: System Dynamics Modeling of Computer System Sabotage, которые я также рассматривал на своем блоге.
Итак, Insider Threat Security Reference Architecture от CERT.
По документу ясно, что авторы решили упорядочить свои знания по противодействию инсайду в более четкую методологию, по образу и подобию методологий и стандартов управления ИТ и ИБ.
В работе выделены 4 основных уровня безопасности:
1. Уровень бизнеса
2. Уровень информации
3. Уровень данных
4. Уровень приложений
Подобное деление, правда с другими уровнями, можно встретить в CobiT 5 или даже в старой статье Алексея Лукацкого.
Вот как CERT определяет данные уровни:
Уровень бизнеса: высокоуровневые требования бизнеса, такие как миссия организация, политики и процедуры.
Уровень информации: сеть и компоненты сети, железо и софт (другими словами, ИТ-инфраструктура).
Уровень данных: информационные активы организации.
Уровень приложений: приложения, поддерживающие бизнес, наподобие ERP или CRM.
Причем авторы документа утверждают, что невозможно полноценно защититься от той или иной угрозы ИБ, не внедрив меры защиты на всех четырех уровнях.
С данным постулатом я согласен, но уровни я бы расположил в другой последовательности (с учетом того, как эти уровни понимает CERT):
1. Уровень бизнеса
2. Уровень данных
3. Уровень приложений
4. Уровень информации (онной инфраструктуры).
Вообще, в этом отношении мне импонирует модель ИТ-инфраструктуры из СТО БР ИББС. Ее можно красиво объединить с моделью из CobiT и получить более точную и взвешенную архитектуру. Авторы явно взяли модель из NIST и зачем-то поменяли уровни местами. Но не об этом речь.
Для каждого уровня авторы приводят примеры рекомендуемых к применению стандартов и методологий ИБ.
Для уровня бизнеса: SABSA, NIST 800-37, Six Sigma (Как сюда ложится Six Sigma я не понимаю).
Для уровня информации: Open Security Architecture, Cisco Safe, NIST 800-53.
Для уровня данных: CDSA, Oracle Database Security.
Для уровня приложений: разумеется OWASP, CERT Security Coding Standards, Microsoft Appication Security.
С точки зрения управления инсайдерской угрозой авторы выделяют три основные типа деятельности:
1. Предотвращение (возможных в будущем инцидентов)
2. Обнаружение (инсайдерской деятельности)
3. Противодействие (обнаруженной инсайдерской деятельности)
Индикаторы инсайдерской деятельности бывают техническими и социальными. Ключевой момент в грамотном управлении инсайдерской угрозе - корреляция как раз технических и социальных данных.
CERT в своей работе выделяют также три фундаментальных принципа защищенности организации от инсайдерской угрозы:
1. Принцип авторизованного доступа.
2. Принцип допустимого использования.
3. Принцип непрерывного мониторинга.
На базе данных принципов и деления безопасности на 4 уровня, авторы разработали таблицу ключевых мер защиты, которые необходимо внедрить для минимизации рисков инсайдерской угрозы ИБ (они назвали ее ITSRA Matrix):
Табличка мне нравится, данный подход к структуризации мер защиты видится мне весьма гармоничным, даже более гармоничным, чем подход, приведенный в стандарте ISO 27001. Но с тем, что приведенные в табличке меры защиты полностью охватывают все аспекты борьбы с инсайдом, можно поспорить. Поэтому авторы статьи скромно заявляют, что данная матрица приведена для примера.
Статья заканчивается демонстрацией того, как правильно защититься от конкретной угрозы ИБ с использованием предложенной архитектуры.
Документ, несмотря на некоторые недостатки, мне понравился. Он очень логично дополняет предыдущие исследования CERT и является шагом к построению полноценной методологии борьбы с инсайдерской угрозой ИБ.
Еще на тему защиты от инсайдеров читайте:
Лучшие практики защиты от инсайдеров от CERT
Управление риском ИТ-саботажа от CERT
Шпионаж и ИТ-саботаж: сходства и различия
Insider Threat Security Reference Architecture (2012)
Документ является логичным продолжением исследований Common Sense Guide to Mitigating Insider Threats и Management and Education of the Risk of Insider Threat: System Dynamics Modeling of Computer System Sabotage, которые я также рассматривал на своем блоге.
Итак, Insider Threat Security Reference Architecture от CERT.
По документу ясно, что авторы решили упорядочить свои знания по противодействию инсайду в более четкую методологию, по образу и подобию методологий и стандартов управления ИТ и ИБ.
В работе выделены 4 основных уровня безопасности:
1. Уровень бизнеса
2. Уровень информации
3. Уровень данных
4. Уровень приложений
Подобное деление, правда с другими уровнями, можно встретить в CobiT 5 или даже в старой статье Алексея Лукацкого.
Вот как CERT определяет данные уровни:
Уровень бизнеса: высокоуровневые требования бизнеса, такие как миссия организация, политики и процедуры.
Уровень информации: сеть и компоненты сети, железо и софт (другими словами, ИТ-инфраструктура).
Уровень данных: информационные активы организации.
Уровень приложений: приложения, поддерживающие бизнес, наподобие ERP или CRM.
Причем авторы документа утверждают, что невозможно полноценно защититься от той или иной угрозы ИБ, не внедрив меры защиты на всех четырех уровнях.
С данным постулатом я согласен, но уровни я бы расположил в другой последовательности (с учетом того, как эти уровни понимает CERT):
1. Уровень бизнеса
2. Уровень данных
3. Уровень приложений
4. Уровень информации (онной инфраструктуры).
Вообще, в этом отношении мне импонирует модель ИТ-инфраструктуры из СТО БР ИББС. Ее можно красиво объединить с моделью из CobiT и получить более точную и взвешенную архитектуру. Авторы явно взяли модель из NIST и зачем-то поменяли уровни местами. Но не об этом речь.
Для каждого уровня авторы приводят примеры рекомендуемых к применению стандартов и методологий ИБ.
Для уровня бизнеса: SABSA, NIST 800-37, Six Sigma (Как сюда ложится Six Sigma я не понимаю).
Для уровня информации: Open Security Architecture, Cisco Safe, NIST 800-53.
Для уровня данных: CDSA, Oracle Database Security.
Для уровня приложений: разумеется OWASP, CERT Security Coding Standards, Microsoft Appication Security.
С точки зрения управления инсайдерской угрозой авторы выделяют три основные типа деятельности:
1. Предотвращение (возможных в будущем инцидентов)
2. Обнаружение (инсайдерской деятельности)
3. Противодействие (обнаруженной инсайдерской деятельности)
Индикаторы инсайдерской деятельности бывают техническими и социальными. Ключевой момент в грамотном управлении инсайдерской угрозе - корреляция как раз технических и социальных данных.
CERT в своей работе выделяют также три фундаментальных принципа защищенности организации от инсайдерской угрозы:
1. Принцип авторизованного доступа.
2. Принцип допустимого использования.
3. Принцип непрерывного мониторинга.
На базе данных принципов и деления безопасности на 4 уровня, авторы разработали таблицу ключевых мер защиты, которые необходимо внедрить для минимизации рисков инсайдерской угрозы ИБ (они назвали ее ITSRA Matrix):
Табличка мне нравится, данный подход к структуризации мер защиты видится мне весьма гармоничным, даже более гармоничным, чем подход, приведенный в стандарте ISO 27001. Но с тем, что приведенные в табличке меры защиты полностью охватывают все аспекты борьбы с инсайдом, можно поспорить. Поэтому авторы статьи скромно заявляют, что данная матрица приведена для примера.
Статья заканчивается демонстрацией того, как правильно защититься от конкретной угрозы ИБ с использованием предложенной архитектуры.
Документ, несмотря на некоторые недостатки, мне понравился. Он очень логично дополняет предыдущие исследования CERT и является шагом к построению полноценной методологии борьбы с инсайдерской угрозой ИБ.
Еще на тему защиты от инсайдеров читайте:
Лучшие практики защиты от инсайдеров от CERT
Управление риском ИТ-саботажа от CERT
Шпионаж и ИТ-саботаж: сходства и различия