Слайд 1Реализация Федерального закона США об управлении информационной безопасностью (FISMA)
Стратегия, вызовы
и дорожная карта
30 января 2007 года
Д-р Рон Росс
Отдел компьютерной безопасности
Лаборатории информационных технологий
Слайд 2Глобальная угроза
Информационная безопасность является не только работой с документами… есть опасные
противники, которые могут запустить серьезные атаки против наших информационных систем; эти атаки могут нанести серьезный или даже разрушительный ущерб критически важной государственной информационной инфраструктуре и, в конечном счете, представлять угрозу экономической и национальной безопасности …
Слайд 3Критически важная инфраструктура США
Определение
“...системы и активы, как физические, так и
виртуальные, которые являются настолько важными для США, что бездействие или разрушение таких систем и активов может оказать ослабляющее действие на безопасность, национальную экономическую безопасность, здоровье и безопасность населения или любую комбинацию указанных вопросов.”
-- Закон о борьбе с терроризмом в США (№ 107-56)
Слайд 4Критически важная инфраструктура США
Примеры
Системы энергоснабжения (электроэнергия, ядерная энергия, нефтегазовая, плотины)
Транспорт
(воздушный, автомобильный, железнодорожный, порты, водные пути)
Системы здравоохранения / Аварийные службы
ИТ и телекоммуникации
Оборонная промышленность
Банковское дело и финансы
Почта и грузовые перевозки
Сельское хозяйство / Продовольствие / Вода
Химические препараты
Слайд 5Федеральный закон об управлении информационной безопасностью
Обзор
“Все федеральные ведомства должны
разработать, оформить и реализовать внутриведомственную программу информационной безопасности, целью которой будет являться обеспечение безопасности информации и информационных систем, поддерживающих деятельность и активы ведомства, включая информационные системы, предоставляемые или контролируемые другими ведомствами, подрядчиками или другими сторонами…”
-- Федеральный закон об управлении информационной безопасностью, 2002 г.
Слайд 6Видение FISMA
Мы строим прочную основу информационной безопасности в крупнейшей информационной инфраструктуре
в мире на основании всесторонних стандартов безопасности и технического руководства.
Мы институционализируем комплексные рамки по управлению рисками, способствующей разработке и реализации федеральными ведомствами гибких и экономически целесообразных программ по обеспечению информационной безопасности.
Мы создаем фундаментальный уровень «должного отношения к обеспечению безопасности» для федеральных ведомств и их подрядчиков на основании минимальных требований и мер обеспечения безопасности.
Слайд 7Желаемое конечное состояние
Видимость безопасности среди партнеров по деятельности или миссии
Слайд 8Программа информационной безопасности
Противники атакуют наиболее слабое звено .. Где ваше слабое
звено?
Оценка рисков
Планирование безопасности
Политика и процедуры обеспечения безопасности
Планирование действий на непредвиденный случай
Планирование аварийного реагирования
Информирование и обучение по вопросам безопасности
Физическая безопасность
Безопасность персонала
Сертификация, аккредитация и оценки безопасности
Механизмы контроля доступа
Механизмы идентификации и аутентификации
(биометрия, маркеры, пароли)
Механизмы аудита
Механизмы кодирования
Межсетевые экраны и механизмы сетевой безопасности
Системы обнаружения вторжений
Параметры конфигурации безопасности
Антивирусное программное обеспечение
Смарт-карты
Звенья цепи обеспечения безопасности: организационные, эксплуатационные и технические меры
Слайд 9Управление рисками на уровне организации
Основные виды деятельности по управлению рисками на
уровне организации – рисками, вытекающими из деятельности информационной системы :
Классификация информационной системы (по степени критичности/чувствительности)
Выбор и кастомизация минимальных (базовых) средств контроля безопасности
Дополнение средств контроля безопасности по результатам оценки рисков
Документирование средств контроля безопасности в плане по обеспечению безопасности системы
Реализация мер обеспечения безопасности в информационной системе
Оценка мер обеспечения безопасности на предмет их эффективности
Определение риска на уровне организации и степени приемлемости риска
Санкционирование работы информационной системы
Мониторинг мер обеспечения безопасности на постоянной основе
Слайд 10Основные стандарты и руководства
Стандарт FIPS 199 (Классификация безопасности)
Стандарт FIPS 200 (Минимальные
требования по безопасности)
Стандарт NIST 800-18 (Составление планов безопасности)
Стандарт NIST 800-30 (Управление рисками)
Стандарт NIST 800-37 (Сертификация и аккредитация)
Стандарт NIST 800-53 (Рекомендуемые меры обеспечения безопасности)
Стандарт NIST 800-53A (Оценка мер обеспечения безопасности)
Стандарт NIST 800-59 (Системы национальной безопасности)
Стандарт NIST 800-60 (Отображение типов информации и ИС к категориям безопасности)
Многие другие публикации FIPS и NIST включают стандарты и руководства по обеспечению безопасности в поддержку FISMA …
Слайд 12Классификация безопасности
Пример: Информационная система организации
Отображение типов информации к категориям безопасности, определенным
в FIPS 199
Слайд 13Классификация безопасности
Пример: Информационная система организации
Минимальные меры обеспечения безопасности для систем, на
которое влияние будет средним
Слайд 14Минимальные требования по безопасности
Требования FISMA
Разработать минимальные требования по информационной безопасности
к информации и информационным системам для каждой категории безопасности, определенной в FIPS 199
Публикации:
Федеральный стандарт для обработки информации (FIPS) Публикация 200, «Минимальные требования к федеральной информации и информационным системам»
Итоговая публикация: март 2006 года
Слайд 15Минимальные меры обеспечения безопасности
Разработать минимальные меры обеспечения безопасности (организационные, эксплуатационные и
технические) в целях удовлетворения минимальных требований по безопасности, предусмотренных в FIPS 200
Публикации :
NIST 800-53 «Рекомендуемые меры обеспечения безопасности для федеральных информационных систем»
Итоговая публикация: февраль 2005 года*
* SP 800-53, пересм. версия 1 должна быть опубликована в декабре 2006 года.
Слайд 16Минимальные меры обеспечения безопасности
Минимальные меры обеспечения безопасности или базовые меры, определенные
для информационных систем, характеризуемых как имеющее низкий, средний и высокий уровень воздействия—
Обеспечение отправной точки для организаций в процессе отбора мер обеспечения безопасности
Используются в совокупности с руководством по кастомизации, которое позволяет подстроить базовые меры к конкретным условиям эксплуатации
Поддержка реализуемого организацией процесса управления рисками
Слайд 17Базовые меры обеспечения безопасности
Слайд 18Кастомизация мер обеспечения безопасности
Анализ требований, определение параметров и соответствующие меры
Слайд 20Золотые правила
Создание эффективной программы информационной безопасности организации
Разработайте стратегию информационной безопасности
организации и «план игры»
Обеспечьте корпоративное участие в программе информационной безопасности организации - эффективные программы начинаются сверху
Интегрируйте информационную безопасность в инфраструктуру организации
Установите уровень «должного отношения» к информационной безопасности
Вначале сконцентрируйтесь на воздействии на миссию/деятельность – вносите информацию об угрозах только в случае ее конкретности и надежности
Слайд 21Золотые правила
Создание эффективной программы информационной безопасности организации
Создайте сбалансированную программу информационной
безопасности с организационными, эксплуатационными и техническими мерами обеспечения безопасности
Сначала используйте прочный фундамент мер обеспечения безопасности и затем достраивайте этот фундамент, руководствуясь оценкой рисков
Избегайте сложных и дорогостоящих оценок рисков, которые опираются на сомнительные предположения и непроверенные данные
Укрепите мишень; поставьте несколько барьеров между противником и информационными системами организации
Будьте хорошим потребителем – остерегайтесь поставщиков, пытающихся продать «односторонние решения» для проблем безопасности организации
Слайд 22Золотые правила
Создание эффективной программы информационной безопасности организации
Не загружайтесь огромностью или
сложностью проблемы информационной безопасности – работайте над ней не спеша и опирайтесь на небольшие успехи
Не терпите безразличие к проблемам информационной безопасности организации
И, наконец,…
Управляйте рисками организации – не пытайтесь избегать их!
Слайд 23Контактная информация
100 Bureau Drive Mailstop 8930
Gaithersburg, MD USA 20899-8930
Руководитель
проекта Административная поддержка
Д-р Рон Росс Пегги Хаймс
(301) 975-5390 (301) 975-2489 ron.ross@nist.gov peggy.himes@nist.gov
Старшие научные сотрудники по информационной безопасности
и техническая поддержка
Марианна Свонсон Д-р Сту Кацке
(301) 975-3293 (301) 975-4768
marianne.swanson@nist.gov skatzke@nist.gov
Пэт Тос Арнольд Джонсон
(301) 975-5140 (301) 975-3247 patricia.toth@nist.gov arnold.johnson@nist.gov
Мэтт Шол Информация и обратная связь
(301) 975-2941 Web: csrc.nist.gov/sec-cert
matthew.scholl@nist.gov Комментарии: sec-cert@nist.gov