Читаем Киберкрепость: всестороннее руководство по компьютерной безопасности полностью

Соблюдение требований FISMA — непрерывный процесс, который требует регулярного мониторинга и анализа для обеспечения того, чтобы программа информационной безопасности организации оставалась эффективной. Организации должны знать о любых изменениях в правилах FISMA и соответствующим образом обновлять свою программу.

Центр интернет-безопасности (Center for Internet Security, CIS) Critical Security Controls (CSC) — это набор лучших практик и рекомендаций по обеспечению безопасности ИТ-систем и сетей. Эти средства контроля разработаны для обеспечения проактивного и комплексного подхода к защите ИТ-систем и сетей и основаны на наиболее распространенных и опасных сценариях кибератак. CIS CSC разделены на 20 областей контроля, каждая из которых затрагивает конкретный аспект безопасности.

Внедрение CIS CSC включает в себя определение наиболее важных активов и уязвимостей в организации и внедрение средств контроля для их защиты. Этот процесс обычно начинается с оценки рисков, за которой следуют разработка плана безопасности и внедрение средств контроля.

CIS CSC разработаны гибкими, их можно адаптировать к конкретным потребностям организации. Они могут быть реализованы различными способами: в виде технологических решений, политик и процедур, а также обучения сотрудников.

Одно из ключевых преимуществ CIS CSC — то, что они регулярно обновляются, чтобы отражать новейшие угрозы безопасности. Организации, принявшие CIS CSC, могут оставаться в курсе последних тенденций и угроз безопасности и быть лучше подготовленными к реагированию на кибератаки и восстановлению после них.

ISO/IEC 27001 — это международный стандарт для систем управления информационной безопасностью. Он обеспечивает основу управления конфиденциальной информацией компании таким образом, чтобы она оставалась в безопасности. Стандарт описывает систематический подход к управлению конфиденциальной информацией, включая людей, процессы и технологии.

Основан стандарт на управлении рисками и разработан таким образом, чтобы не зависеть от типа, размера или характера организации. Он включает руководящие указания и общие принципы инициирования, внедрения, поддержания и улучшения управления информационной безопасностью в организации.

ISO/IEC 27001 требует внедрения формальной СУИБ, которая включает следующие шаги:

• Выявление рисков для доступности, целостности и конфиденциальности информации и их оценка.

• Внедрение средств контроля для устранения выявленных рисков.

• Постоянный мониторинг и анализ эффективности средств контроля.

• Регулярный пересмотр и обновление СУИБ в ответ на изменения в потребностях информационной безопасности организации, рисках и среде безопасности.

Стандарт включает также требования к приверженности руководства к принципам информационной безопасности, к коммуникации и осведомленности персонала, к управлению инцидентами, а также к постоянному совершенствованию системы управления информационной безопасностью (СУИБ). Организации, соответствующие стандарту ISO/IEC 27001, могут быть сертифицированы аккредитованным сторонним аудитором, что свидетельствует об их стремлении к информационной безопасности и может использоваться в качестве эталона в своей отрасли.

Cloud Security Alliance (CSA) — это некоммерческая организация, цель которой — продвижение передовых методов обеспечения безопасности облачных вычислений. CSA разработала ряд стандартов и рекомендаций, которые могут помочь организациям обеспечить безопасность их облачных сред.

Один из ключевых стандартов, разработанных CSA, — матрица контроля облаков, представляющая собой набор средств контроля безопасности, которые организации могут использовать для оценки безопасности своих поставщиков облачных услуг. Матрица разделена на 13 областей, каждая из которых охватывает различные аспекты облачной безопасности, такие как управление инцидентами, контроль доступа и безопасность данных.

Еще один ключевой стандарт, разработанный CSA, — Cloud Security Alliance Cloud Trust Protocol (CSA-CTP). CSA-CTP — это основа для оценки безопасности облачных услуг, которая может использоваться для оценки безопасности облачных провайдеров в ряде областей, таких как управление инцидентами, контроль доступа и безопасность данных.