html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

NIST SP 800: библиотека по информационной безопасности

NIST Хочу познакомить хабрапользователей, касающихся прямо или косвенно вопросов защиты информации, с практически не упоминавшимся на Хабре замечательным методическим ресурсом: “NIST Special Publications 800 Series”.

NIST – National Institute of Standards and Technology – американский национальный институт стандартизации, аналог отечественного ГосСтандарта. В его составе функционирует компетентный и имеющий серьезный вес в США центр по компьютерной безопасности – CSRC, объединяющий специалистов федеральных служб, университетов, крупнейших ИТ-компаний США. Центр публикует с начала 1990-х годов Стандарты (FIPS) и более детальные разъяснения/рекомендации (Special Publications) в области информационной безопасности. Рекомендациям (Special Publications), созданным CSRC, присваивается код 800. О них я и предлагаю поговорить подробнее.

В CSRC созданы три рабочие группы, распределяющие всю деятельность центра по крупным направлениям:
  • управление информационной безопасностью;
  • технические вопросы обеспечения информационной безопасности;
  • криптографическая защита информации.

На счету каждой из групп десятки публикаций. В связи с тем, что криптография является достаточно специфичной областью, рекомендации в этой сфере, пожалуй, заслуживают отдельной статьи, а ниже я приведу обзор наиболее интересных и популярных документов первых двух групп.

Многие документы регулярно пересматриваются — в скобках указан год выпуска последней версии (этим объясняется несоблюдение порядка номеров самих документов). Жирным шрифтом выделены документы, наиболее часто встречающиеся/цитируемые в других материалах по ИБ в ссылках.

Управление информационной безопасностью

Раздел содержит «джентельменский набор», пожалуй, любого стека стандартов/рекомендаций по менеджменту ИБ, но напомню, что статус CSRC делает их фактически настоятельно рекомендуемыми для применения во всех гос.учреждениях США, а это немалого стоит.

SP 800-50
(2003)
Создание программы повышения осведомленности в области безопасности ИТ
Зоны ответственности участников процесса, подготовка материала, возможные проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
SP 800-84
(2006)
Тестирование планов безопасности ИТ
Политика, зоны ответственности, методология, примеры документов, частные методики: «настольный» тест, симуляции, тестирование в реальной обстановке
SP 800-100
(2006)
Коротко об информационной безопасности для руководства
Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль, управление непрерывностью и инцидентами
SP 800-60
(2008)
Классификация информации и информационных систем по требованиям к безопасности методика классификатор
Методика присвоения и классификатор (рекомендуемые значения) уровней влияния нарушения конфиденциальности, целостности и доступности в зависимости от вида (назначения) обрабатываемой информации
SP 800-115
(2008)
Технические вопросы оценки уровня ИБ
Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация процесса, проведение оценивания, анализ результатов, использование результатов в процессе совершенствования ИБ организации
SP 800-118
(2009)
Управление паролями
Существующие угрозы при использовании парольной аутентификации, обеспечение безопасности хранения парольной базы, атаки социальной инженерии.
SP 800-37
(2010)
Управление рисками ИБ в федеральных информационных системах
Детализированная методика управления рисками ИБ, роли и зоны ответственности участников процесса, описание сопутствующих документов
SP 800-34
(2010)
Планирование обеспечения непрерывности в федеральных информационных системах
Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование планов, основные технологии обеспечения непрерывности функционирования информационных систем и сервисов
SP 800-137
(2011)
Мониторинг ИБ в федеральных информационных системах
Возможные уровни мониторинга безопасности: организация в целом / бизнес-процессы / ИТ-системы, разработка стратегии мониторинга, определение метрик, анализ поступающих данных, использование результатов в процессе совершенствования ИБ организации
SP 800-61
(2012)
Управление инцидентами в области ИБ
Планирование процесса, создание группы реагирования и регламентов ее функционирования, обнаружение инцидентов, приоритезация, выбор стратегии противодействия, снижение ущерба, восстановление систем, обеспечение взаимодействия исполнителей в процессе реагирования на инцидент
SP 800-40
(2012)
Управление обновлениями безопасности
Вопросы и проблемы процесса управления обновлениями, технологии поддержания программного обеспечения в актуальном состоянии, метрики процесса


Технические вопросы обеспечения информационной безопасности

Далее в более кратком формате — наиболее интересные публикации CSRC технического характера. Не буду спорить с тем, что среди документов CSRC встречаются и откровенно морально устаревшие (я попытался их исключить из списка). Однако, в целом ИТ-подразделение NIST по мнению многих специалистов является одним из наиболее динамичных институтов стандартизации в области ИТ/ИБ. Они стараются выпускать рекомендации практически сразу по факту значимых тенденций в появлении новых или перераспределении старых угроз в сфере ИБ (самое «вкусное», соответственно, наверное, в самом низу).

SP 800-24
(2001)
Информационная безопасность учрежденческих АТС (PBX)
SP 800-58
(2005)
Информационная безопасность VoIP
SP 800-77
(2005)
Введение в IPSEC
SP 800-88
(2006)
Доверенная очистка (уничтожение) данных на носителях информации
SP 800-92
(2006)
Управление журналами безопасности
SP 800-45
(2007)
Безопасность электронной почты
SP 800-54
(2007)
Безопасность BGP
SP 800-95
(2007)
Разработка безопасных Web-сервисов
SP 800-44
(2007)
Обеспечение безопасности публичных Web-серверов
SP 800-111
(2007)
Технологии шифрования данных при хранении (на стороне пользователя)
SP 800-114
(2007)
Защита устройств пользователя, используемых для удаленного доступа в сеть организации
SP 800-28
(2008)
Угрозы пользователю при использовании активного контента и мобильного кода
SP 800-113
(2008)
Введение в SSL VPN
SP 800-48
(2007)
Дополнительные меры безопасности при использовании устаревших протоколов беспроводных сетей (WEP, WPA)
SP 800-46
(2009)
Обеспечение безопасности при организации удаленного доступа в сеть организации
SP 800-41
(2009)
Файрволы (межсетевые экраны) и политики их применения
SP 800-81
(2010)
Внедрение Secure DNS
SP 800-127
(2010)
Обеспечение безопасности WiMAX-сетей
SP 800-119
(2010)
Вопросы безопасности при внедрении IPv6
SP 800-82
(2011)
Безопасность промышленных систем
SP 800-63
(2011)
Аутентификация в информационных системах
SP 800-125
(2011)
Обеспечение безопасности при использовании технологий виртуализации
= хабраперевод =
SP 800-144
(2011)
Вопросы безопасности при использовании публичных облаков
SP 800-147
(2011)
Обеспечение целостности BIOS
SP 800-121
(2012)
Безопасность технологии Bluetooth
SP 800-83
(2012)
Антивирусная защита стационарных и мобильных рабочих мест сотрудников
SP 800-94
(2012)
Системы обнаружения/предотвращения вторжений (IDS/IPS)
SP 800-124
(2012)
Обеспечение безопасности мобильных устройств организации
SP 800-146
(2012)
Облачные вычисления: обзор технологий, анализ преимуществ и недостатков


Надеюсь, что в данном разнообразии каждый найдет себе пару-тройку документов для неторопливого прочтения в послепраздничные дни!
Читать дальше
Twitter
Одноклассники
Мой Мир

материал с habrahabr.ru

2

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • PostWarBlues
          • домен habrahabr.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции