*機密情報を漏らす罪。 あなたの電話はあなたが言うことだけを言います... *

前回、 ISリスク管理フレームワークの開発に特化した資料で、ほぼ1年前に米国でISを保証するという問題を取り上げました。 ISがアメリカでどのように構成されているかについて、もう少し詳しく話します。 少なくとも論文では、完全に評判の良い組織NISTが発行しています。
理論上の情報セキュリティ、いわゆるベストプラクティスについてさらに詳しく説明します。これは、ほとんどの実用的なセキュリティの専門家が知っているように、人生ではめったにありません。 ただし、これは、実際のISサポートシステムの構築における重要性を損なうものではありません。

記事のすべての部分へのリンク：
アメリカ式のIB。 パート1. NIST 800-53とは何ですか？また、セキュリティ管理策はどのように見えますか？
アメリカ式のIB。 パート2。そして、NIST 800-53について詳しく説明してください。リスク管理はどこで行いますか？
アメリカ式のIB。 パート3.基本的なコントロールセットとは何ですか？また、システムの重要性を判断する方法は？
アメリカ式のIB。 パート4.「適合」と「重複」を理解し、このレビューを完了する

なぜアメリカ

米国が多くの分野で他の地域よりも進んでいることは秘密ではありません。 この声明はある程度、情報セキュリティの分野に適用されます。
そのため、歴史的に、コンピューター技術の爆発的な成長と普及が米国で発生しました。 パーソナルコンピューターの普及、インターネットの創造、曲がったiPhoneの発明 。 この国では、伝統的に、国家と国益の両方の安全と市民の権利の遵守に細心の注意が払われています。 情報技術の出現により、この関心は新しい分野に広がっています。
業界の先駆者であり、特別なサービスが十分に発達している国として、アメリカは常にITの分野で、したがって情報セキュリティの分野で明確な優位性を持っています。 したがって、たとえば、コンピューターで広く使用されるようになった夜明けの暗号化アルゴリズムでした（たとえば、DES暗号化アルゴリズムのキーの長さは56ビットでしたが、全世界のアルゴリズムのエクスポートバージョンは40ビットに制限されたキーを持っていたため、明らかにNSAの利益が不十分でした） 。 同じことが国内の情報セキュリティプロセスにも当てはまります。 米国では、情報保護に関する非常に深刻な要件があり、情報セキュリティに関する多くの興味深い文書が開発されています。
もちろん、組織自体が情報セキュリティツールの導入に悩んでいると想定することもできますが、立法を含む刺激は、自分自身とその個人データを保護しようとする国民からの圧力に加えて、特別なサービスや規制機関からもたらされているように思えます。
ところで、次の点に注意を払うことは興味深いです：アメリカの専門家によって作成された情報セキュリティ文書では、用語「国家」は定式化で定期的に使用されています。 国家。 文書は、米国の利益を考慮して書かれています。 これは、個人、組織、州の利益に追加されます。 一度、ロシアの人々の利益に関する公式文書の言及がどこにあるのか覚えていません。 ここにメンタリティについてのそんな小さな発言があります。


* ITハイウェイに乗る前にリスクについて考えてください！*

特別出版コード53。

次に、米国の法律や現実とは異なる条件でおそらく最も適切な文書の1つについてお話します。
NIST-国立標準技術研究所。 さまざまなトピックに関する信じられないほどの数の出版物があるという理由で、真剣な組織。 NISTの情報セキュリティに関する出版物については、800という番号で特別なシリーズが割り当てられました。このシリーズでは、さまざまな方向の多くのドキュメントがすでに提示されています。 しかし、それらすべての中で、私は最も興味深い、そして私の意見では、現実の出版物NIST Special Publication 800-53「連邦情報システムと組織のためのセキュリティとプライバシー管理」への近似を強調しました。 逐語的に翻訳すると、「連邦政府の情報システムおよび組織のセキュリティとプライバシーの制御」が得られます。 このドキュメントはすでに3つの改訂版を乗り越えており、現在4つのバージョンで提供されています。
このドキュメントの本質は、セキュリティコントロールと、それらを賢く使用する方法に関する指示を説明することです。 ドキュメントは非常に膨大であり、コントロールの説明には約250ページかかり、その合計数は数百であることに注意してください（コントロールの強化を考慮しますが、これについては後で詳しく説明します）
同じISO 27001と比較して、ISOは特定の補償手段ではなく、IS管理により重点を置いているため、セキュリティ管理ははるかに詳細な補償手段です。


*安全な組み合わせもあなたです*

コントロールの概要

ドキュメントは非常によく構造化されており、多くの実例、作業を簡素化する便利なテーブルなどがあります。 このすべては、1年前、Andrei Prozorovが彼のブログで FSTECとNISTの文書を比較して書いています。
当然、標準のすべてのコントロールは、情報セキュリティのさまざまな領域に対応するファミリに分割されます。 したがって、NISTは次のコントロールファミリで動作します（翻訳は私自身のものであるため、私を責めないでください。不必要な混乱や噂を避けるために、元の名前を使用することを好みます）。

Abbr	コントロールファミリー	適応翻訳
AT	意識とトレーニング	意識とトレーニング
Au	監査と説明責任	監査と報告
CA	セキュリティの評価と承認	承認とセキュリティ評価
CM	構成管理	構成管理
CP	緊急時計画	事業継続計画
IA	識別と認証	認証と認証
IR	インシデント対応	インシデント対応
MA	メンテナンス	サービス/技術サポート
MP	メディア保護	メディア保護
PE	物理的および環境的保護	災害保護と物理的セキュリティ
PL	計画中	計画中
PS	人事セキュリティ	スタッフの安全
RA	リスク評価	リスク評価
SA	システムおよびサービスの取得	システムとサービスの取得
SC	システムと通信の保護	システムと通信の保護
SI	システムと情報の整合性	システムと情報の整合性
午後	プログラム管理	情報セキュリティ管理

*コンピューターセキュリティゲームをプレイしないでください！*

セキュリティ制御とは何ですか？

今こそ、セキュリティコントロールとは何かについて話し合うときです。 以下は、平均サイズの説明を含む典型的なコントロールです。

AU-3監査記録の内容
制御 ：情報システムは、発生したイベントのタイプ、イベントの発生時期、イベントの発生場所、イベントのソース、イベントの結果、および関連する個人またはサブジェクトのIDを確立する情報を含む監査レコードを生成しますイベント。
補足ガイダンス ：この制御の要件を満たすために必要な監査記録の内容には、たとえば、タイムスタンプ、送信元および宛先アドレス、ユーザー/プロセス識別子、イベントの説明、成功/失敗の表示、関連するファイル名、アクセス制御、または呼び出されたフロー制御ルール。 イベントの結果には、イベントの成功または失敗のインジケータとイベント固有の結果（イベント発生後の情報システムのセキュリティ状態など）を含めることができます。
関連コントロール ：AU-2、AU-8、AU-12、SI-11。
コントロールの強化 ：
（1）監査記録の内容| 追加の監査情報
情報システムは、次の追加を含む監査レコードを生成します
情報：[割り当て：組織が定義した追加の詳細情報]。
補足ガイダンス ：組織が監査で考慮する可能性のある詳細情報
記録には、たとえば、特権コマンドまたは個人の全文記録が含まれます
グループアカウントユーザーのID。 組織は追加監査の制限を検討する
特定の監査要件に明示的に必要な情報のみへの情報。 これ
可能性のある情報を含めないことにより、監査証跡と監査ログの使用を促進します
潜在的に誤解を招く可能性があるか、関心のある情報を見つけることがより困難になる可能性があります。

（2）監査記録の内容| 計画された監査記録コンテンツの集中管理
情報システムは、コンテンツの集中管理と構成を提供します
[割り当て：組織定義の情報によって生成された監査レコードにキャプチャされる
システムコンポーネント]。
補足ガイダンス ：この制御の強化では、コンテンツをキャプチャする必要があります
監査レコードでは、中央の場所から構成する必要があります（自動化が必要です）。 組織
必要な監査コンテンツの選択を調整して、集中管理をサポートし、
情報システムによって提供される構成機能。
関連コントロール ：AU-6、AU-7。
参照 ：なし。
優先順位とベースラインの割り当て ：

P1	低い	AU-3	MOD	AU-3（1）	高い	AU-3（1）（2）

コントロールの説明は次のパターンに従います。
まず第一に、制御ファミリーのコードと番号があります-AU-3。 セキュリティコントロールの名前は次のとおりです。「監査レコードの内容」。
これに続くセクションは次のとおりです。

1. 制御 組織またはISによって実行されたセキュリティに関連する特定のアクションまたはアクティビティの説明。 一部のコントロールには、柔軟な構成オプションが用意されており、組織にコントロールに関連するいくつかのパラメーターを決定する機能を提供します。 たとえば、そのようなパラメータは、監査の頻度、ログの保存期間、またはユーザーの認証に失敗した回数です。 したがって、組織のビジネス目標からのセキュリティ要件、リスク評価とリスク受容性の結果、および法律と規制当局の要件に基づいて、特定のニーズに合わせてコントロールを調整することができます。
2. 補足ガイダンス 。 特定のコントロールの追加情報。 コントロールの実装または使用などに関する説明情報を含めることができます。 他の関連コントロールへのリンクも提供される場合があります。
3. コントロールの機能強化 このセクションでは、コントロールに機能を追加したり強化したりして、コントロールを「改善」する可能性を示します。 メインと組み合わせてのみ使用できる一種のコントロールが判明します。 この例では、AU-3（1）（2）コントロールは実際に監査レコードとそのようなレコードの基本構成を生成する必要性を決定するAU-3コントロール自体で構成され、「増幅」（1）記録されたイベントと「増幅」に関する追加情報のリストを修正します（2）監査記録の内容の一元管理の組織を記述する。 ご覧のとおり、これらの拡張機能はコントロール自体なしでは実装できませんが、それらを個別のコントロールに分けることは合理的ではありません。 また、これらの拡張機能は、たとえば、監査レコードに必要な情報の完全なリストを定義し、監査レコードを一元管理する必要があるIPのリストを定義することにより、組織に柔軟な構成オプションを提供することも注目に値します。
4. 参照 立法（当然アメリカ）、標準、規制要件、さまざまなガイドラインなどへのリンクがあります。 私たちにとって、これはより多くの背景情報です。
5. 優先順位とベースラインの割り当て 。 ラベルは、コントロールの実装に関する意思決定プロセス（上記の例ではP1）での注文時に推奨される優先順位に関する情報と、さまざまな重要度のシステムの基本セット間でのコントロールの初期分布およびその「増幅」（さらに少し）についての情報を提供します。 実装の優先度により、組織は主に基本的な対策を実装することにより、より効率的かつタイムリーに制御を実装できます。

*一部の専門家は自分の秘密を明かさない。

セキュリティ管理の種類

構造的アプローチを合理化し、確実にするために、ドキュメントの作成者は、目的に応じて、コントロールを異なるタイプに分離することを提供しました。

1. 共通 さまざまなシステムに継承でき、単一のIPの範囲を超えて影響を与えることができる主なコントロール。 このISでセキュリティ機能を実行する場合、システムはセキュリティ制御を継承しますが、このISの外部で開発、実装、評価、承認されました。
   
2. システム固有 。 制御は、特定のIPの所有者の責任です。
   
3. ハイブリッド 制御の一部は一般的な制御として機能し、一部はシステム制御として機能します。 たとえば、IR-1監視では、組織全体でインシデント全体の対応ポリシーを定義できますが、個々のシステムに対して特定の対応手順が定義されています。
   

特定の状況では実装および評価プロセスのコストを削減し、組織全体のアプローチの整合性を確保できるため、著者はコントロールを一般、混合、および体系に分離します。 この論理ソリューションにより、たとえば、特定のコントロールに対する責任を決定するプロセスを簡素化し、コントロールが効果的に作業を実行する領域を決定できます。

そして今、NIST 800-53とISO 27001の簡単な比較

ISO 27001規格はロシアの広大さではるかに広く知られており、おそらくほぼ誰もが聞いたことがあるでしょう。その仕事は多かれ少なかれ情報セキュリティに密接に関連しています。 この規格は、情報セキュリティ管理システムの要件を説明しています。 ISO規格の人気（または人気）のため、NISTの問題の文書と簡単に比較して、読者にもう少し明確に提示します。
ただし、専門家の公正な異議を予想して、これら2つの標準を直接比較しようとしているわけではないことに注意してください。そうではありません。 それらは異なる目的のために書かれており、むしろ反対ではなく互いに補完しています。 ただし、NISTで提示された詳細は称賛に値します。

NIST SP 800-53とISO / IEC 27001の安全制御の比率を視覚的に比較するために、これらの規格の準拠を示す表の2つの断片を以下に示します。 （この表は文書NIST 800-53から取られており、2つの標準のコントロールの比率についての私の主観的な判断の存在を除外しています）。

表1.左側がISO 27001コントロール、右側がNIST 800-53のコントロールです


表2.逆マッチ：


これらの表から明らかなように、ISOコントロールはより一般的であり、NISTのより正確に定式化されたコントロールがいくつか含まれています。 または、それを別の方法で定式化すると、その詳細の結果として、1つのNISTコントロールが、高レベルの性質であるいくつかのISOコントロールで説明されている目的を果たすことができると結論付けることができます。 うまくいけば、説明するのはそれほど難しくない。 これらのプレートのどれが私に読者に任せる反対の結論であることができるかという問題。 そのような仮定は、コントロールの標準と説明をざっと見ても消えてしまうためです。

これは、典型的なISO 27001セキュリティコントロールの外観であり、特に、コントロール構造を調査したサンプルとして提供されているAU-3コントロール「監査記録の内容」の範囲をカバーしています。 この説明を、上記のNISTコントロールのすべてと比較してください。

次は何ですか

次の記事では、NIST 800-53規格で提示されているセキュリティ制御を操作するプロセスを簡単な形式で説明しようとします。
誰かが役に立つか、少なくとも面白いと思うことを願っています。