Главная » Блоги Экспертов И ИТ-Компаний » ИБ. Лучшие практики мер безопасности из Германии

ИБ. Лучшие практики мер безопасности из Германии

7 февраля Ассоциация ИТ-безопасности Германии TeleTrusT подготовила и при поддержке ENISAперевела на английский язык руководство “Современный уровень” (Stateoftheart) технических и организационных мер для немецкого закона ITSecurityAct и европейского GDPR.
%25D0%25BF%25D1%2580%25D0%25B0%25D0%25BA%25D1%2582%25D0%25B8%25D0%25BA%25D0%25B8.png
В упомянутых НПА неоднократно говорится, что при выборе мер защиты необходимо принимать во внимание современный уровень техники (Stateoftheart), наряду с затратами на меры защиты, объемом и целями обработки данных, вероятностью риска и степенью возможного вреда. Ранее нигде не было определено что такое современный уровень техники (Stateoftheart) в ИТ безопасности и ассоциация TeleTrusT решила это исправить.
Была выбрана методология, по которой все меры защиты разделялись на 3 уровня:
·         existing scientific knowledge and research (ESKaR) – научныезнанияиисследования
·         state of the art (STOA) – современный уровень техники
·         generally accepted rules of technology (GART) – общепринятые правила техники “несовременные”
Рабочая группа “Stateoftheart” подготовила опросник, по которому каждая мера оценивалась по степени признания и степени проверки на практике. Они многократно повторили цикл оценки, в том числе с привлечением внешних экспертов и получили следящий перечень современных мер.
logo.png
Техническиемеры:
·         Безопасность серверов (Serverhardening)
·         Оценка надежности паролей (Password strength assessment)
·         Обеспечение применения надежных паролей (Enforcingstrongpasswords)
·         Многофакторнаяаутентификация (Multi-factor authentication)
·         Криптографические процедуры (Cryptographic procedures)
·         Шифрование диска (Disk encryption)
·         Шифрованиефайловипапок (Encryption of files and folders)
·         Шифрование электронной почты (E-mailencryption)
·         Инфраструктура PKI длябезопасностикоммуникаций (Securing electronic data communication with PKI)
·         Шифрование каналов связи на 3 уровне - VPN (UseofVPNs (layer 3))
·         Шифрование на 2 уровне (Layer 2 encryption)
·         Безопасность облачного обмена файлами (Cloud-baseddataexchange)
·         Безопасность данных, хранимых в облаке (Datastorageinthecloud)
·         Безопасноеиспользованиемобильныхсервисов (Use of mobile voice and data services)
·         Безопасность сервисов мгновенного обмена сообщениями (Communicationthroughinstantmessenger)
·         Управление мобильными устройствами (MobileDeviceManagement)
·         Безопасность активного сетевого оборудования (Routersecurity)
·         Обнаружениевторжений (Network monitoring using Intrusion Detection System)
·         Web фильтрация (Web traffic protection)
·         Безопасность web приложений (Web application protection)
·         Безопасныйудаленныйдоступ (Remote network access/ remote maintenance)
Организационныемеры:
·         Процессы ИБ
o   Назначение ответственности за ИБ (Security organisation)
o   Управление требованиями ИБ (Requirements management)
o   УправлениеперечнемИС (Management of scope of application)
o   УправлениеполитикамиИБ (Management of information security guidelines)
o   Управление рисками ИБ (Risk management)
o   Управолениеприменимостьютребований (Management of statement of applicability)
o   Управление ресурсами ИБ (Resource management)
o   УправлениезнаниямиИБ (Knowledge and competency management)
o   Управление документацией и коммуникациями (Documentationandcommunicationmanagement)
o   УправлениеИТсервисами (IT service management)
§  Управление активами (Asset Management)
§  Повышение осведомленности (Training and awareness)
§  Эксплуатация (Operation)
§  Управление инцидентами (Incident Management)
§  Управление неприрывностью (Continuity Management)
§  Приобретение (Procurement)
§  Разработкаивнедрение (Software development and IT projects)
o   Анализэффективности (Performance monitoring management)
§  Техническиеаудиты (Technical system audits)
§  Аудитысоответствия, сертификации (Internal and external audits, ISMS certification)
o   Управлениеулучшениями (Improvement management)
·         Безопасная разработка ПО
·         Аудиты и сертификация
По каждой технической мере указывается какие угрозы она нейтрализует и даются краткие ре рекомендации по её выполнению. Например, вкриптографии: “TLS25, 26: TLS 1.3 combined with forward secrecy using secure algorithms as per BSI TR-02102-2, table 127. The use of tools such as: https://www.owasp.org/index.php/O-Saft and https://www.ssllabs.com/ssltest/ helps inspect TLS configuration.”
По организационным мерам – похуже. Для их оценки проводился не опрос специалистов, а анализ стандартов ISO, BSI, Cobit. Сами орг. меры описаны кратко – придется лезть в упомянутые стандарты за деталями.
Данный перечень рекомендуется как первый шаг при определении достаточных мер защит
ы и не заменяет консультации и индивидуальную оценку с учетом особенностей конкретной организации. Если кому-то будет интересно, в других статьях могу рассмотреть подробно отдельные меры.


Источник: http://sborisov.blogspot.com/2019/02/blog-post.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
9 месяцев назад | тэги: ENISA, GDPR, ИБ, лучшие практики
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/, https://www.ussc.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>