Киберкрепость: всестороннее руководство по компьютерной безопасности - Пётр Юрьевич Левашов

CSC включает в себя определение наиболее важных активов и уязвимостей в организации и внедрение средств контроля для их защиты. Этот процесс обычно начинается с оценки рисков, за которой следуют разработка плана безопасности и внедрение средств контроля.

CIS CSC разработаны гибкими, их можно адаптировать к конкретным потребностям организации. Они могут быть реализованы различными способами: в виде технологических решений, политик и процедур, а также обучения сотрудников.

Одно из ключевых преимуществ CIS CSC — то, что они регулярно обновляются, чтобы отражать новейшие угрозы безопасности. Организации, принявшие CIS CSC, могут оставаться в курсе последних тенденций и угроз безопасности и быть лучше подготовленными к реагированию на кибератаки и восстановлению после них.

ISO/IEC 27001. Системы управления информационной безопасностью

ISO/IEC 27001 — это международный стандарт для систем управления информационной безопасностью. Он обеспечивает основу управления конфиденциальной информацией компании таким образом, чтобы она оставалась в безопасности. Стандарт описывает систематический подход к управлению конфиденциальной информацией, включая людей, процессы и технологии.

Основан стандарт на управлении рисками и разработан таким образом, чтобы не зависеть от типа, размера или характера организации. Он включает руководящие указания и общие принципы инициирования, внедрения, поддержания и улучшения управления информационной безопасностью в организации.

ISO/IEC 27001 требует внедрения формальной СУИБ, которая включает следующие шаги:

• Выявление рисков для доступности, целостности и конфиденциальности информации и их оценка.

• Внедрение средств контроля для устранения выявленных рисков.

• Постоянный мониторинг и анализ эффективности средств контроля.

• Регулярный пересмотр и обновление СУИБ в ответ на изменения в потребностях информационной безопасности организации, рисках и среде безопасности.

Стандарт включает также требования к приверженности руководства к принципам информационной безопасности, к коммуникации и осведомленности персонала, к управлению инцидентами, а также к постоянному совершенствованию системы управления информационной безопасностью (СУИБ). Организации, соответствующие стандарту ISO/IEC 27001, могут быть сертифицированы аккредитованным сторонним аудитором, что свидетельствует об их стремлении к информационной безопасности и может использоваться в качестве эталона в своей отрасли.

CSA Cloud Security Alliance. Стандарты и соответствие

Cloud Security Alliance (CSA) — это некоммерческая организация, цель которой — продвижение передовых методов обеспечения безопасности облачных вычислений. CSA разработала ряд стандартов и рекомендаций, которые могут помочь организациям обеспечить безопасность их облачных сред.

Один из ключевых стандартов, разработанных CSA, — матрица контроля облаков, представляющая собой набор средств контроля безопасности, которые организации могут использовать для оценки безопасности своих поставщиков облачных услуг. Матрица разделена на 13 областей, каждая из которых охватывает различные аспекты облачной безопасности, такие как управление инцидентами, контроль доступа и безопасность данных.

Еще один ключевой стандарт, разработанный CSA, — Cloud Security Alliance Cloud Trust Protocol (CSA-CTP). CSA-CTP — это основа для оценки безопасности облачных услуг, которая может использоваться для оценки безопасности облачных провайдеров в ряде областей, таких как управление инцидентами, контроль доступа и безопасность данных.

В дополнение к этим стандартам CSA предоставляет ряд инструментов и ресурсов, с помощью которых организации могут внедрять передовые методы обеспечения безопасности облачных вычислений. К ним относятся реестр CSA Security, Trust & Assurance Registry (STAR), который представляет собой общедоступную базу данных поставщиков облачных услуг, прошедших оценку безопасности, и руководство CSA Security Guidelines for Critical Areas of Focus in Cloud Computing, содержащее рекомендации по обеспечению безопасности различных аспектов облачных сред.

Соблюдение этих рекомендаций и стандартов дает организациям основу для обеспечения безопасности их облачных сред, а также гарантирует выполнение нормативных требований по защите данных.

Организациям важно быть в курсе последних событий CSA и регулярно пересматривать и обновлять свои методы обеспечения безопасности в облаке в соответствии с последними стандартами и рекомендациями. Они могут рассмотреть возможность привлечения стороннего аудитора для оценки их соответствия стандартам CSA и выявления областей, в которых необходимо улучшить контроль безопасности.

Соответствие требованиям GLBA. Защита финансовых данных

Закон Грамма — Лича — Блайли (GLBA) — это федеральный закон, который требует от финансовых учреждений защиты личной финансовой информации своих клиентов. Соблюдение требований GLBA подразумевает внедрение административных, технических и физических мер безопасности для защиты непубличной личной информации (nonpublic personal information, NPI). К ним относятся разработка и внедрение комплексной программы информационной безопасности, а также предоставление клиентам ежегодных уведомлений о конфиденциальности.

Перечислим основные компоненты соответствия требованиям GLBA.

• Регулярная оценка рисков для выявления и смягчения потенциальных угроз для NPI.

• Внедрение средств контроля безопасности, таких как шифрование, брандмауэры и системы обнаружения вторжений.

• Разрешение доступа к NPI только уполномоченному персоналу.

• Разработка планов реагирования на инциденты и обучение сотрудников тому, как реагировать на инциденты безопасности.

• Регулярное тестирование и мониторинг эффективности установленных средств контроля безопасности.

• Необходимость убедиться, что все сторонние поставщики услуг, которые работают с NPI, соответствуют требованиям GLBA.

Нарушения GLBA могут привести к значительным штрафам и взысканиям, а также нанести ущерб репутации компании. Для организаций финансовой отрасли крайне важно понимать и соблюдать требования GLBA, чтобы защитить конфиденциальную финансовую информацию своих клиентов.

Соблюдение требований FERPA. Защита документов об образовании

Закон о правах и конфиденциальности семейного образования (FERPA) — это федеральный закон, который защищает конфиденциальность сведений о студентах. Он распространяется на все учебные заведения, финансируемые министерством образования США. Правила FERPA регулируют сбор, использование и выдачу персонально идентифицируемой информации (PII) о студентах.

Соблюдение требований FERPA предписывает учебным заведениям принимать меры по защите PII учащихся от несанкционированного доступа, использования и раскрытия. Это предусматривает внедрение политик и процедур работы с документами учащихся, ежегодное уведомление учащихся и их родителей об их правах согласно FERPA, а также получение письменного согласия перед раскрытием PII учащегося третьим лицам.

Для обеспечения соответствия требованиям FERPA учебные заведения должны внедрить административные, технические и физические меры безопасности для защиты PII учащегося от несанкционированного доступа и раскрытия. Это предусматривает внедрение средств контроля доступа, таких как аутентификация и авторизация пользователей, для предоставления доступа к PII учащихся только уполномоченному персоналу.

Для защиты PII учащихся от несанкционированного доступа и раскрытия учебные заведения должны принимать меры безопасности, такие как брандмауэры, системы обнаружения и предотвращения вторжений и шифрование данных. Кроме того, они