FSTEC vs NIST: perlindungan kebocoran di Rusia dan Amerika

Banyak teks telah ditulis dengan topik perbedaan antara mentalitas Rusia dan Barat, banyak buku telah diterbitkan, dan banyak film telah dibuat. Ketidaksesuaian mental berjalan melalui segalanya secara harfiah, mulai dari nuansa sehari-hari hingga pembuatan aturan - termasuk dalam bidang penerapan sistem perlindungan kebocoran informasi (DLP). Jadi kami memiliki ide untuk mempersiapkan para pembaca kami serangkaian artikel yang membandingkan pendekatan perlindungan kebocoran di Rusia dan di Amerika.



Dalam artikel pertama, kami membandingkan persamaan dan perbedaan dalam rekomendasi dari regulator Rusia dan asing tentang perlindungan informasi, yang sistem perlindungan kebocorannya dapat diterapkan pada tingkat tertentu. Dalam yang kedua, kita akan berbicara tentang penerapan sistem DLP utama dalam hal modul komponen untuk langkah-langkah perlindungan GIS yang direkomendasikan oleh FSTEC Federasi Rusia. Pada yang ketiga, kami mempertimbangkan daftar yang sama dari sistem perlindungan kebocoran untuk korelasi dengan rekomendasi dari standar NIST Amerika AS.

Jadi, apa yang FSTEC dari Federasi Rusia dan NIST AS rekomendasikan kepada kami sehubungan dengan perlindungan informasi, di mana sistem DLP dapat digunakan? Jawaban untuk pertanyaan ini ada di bawah potongan.

Bersama kami

Di Federasi Rusia, badan yang menerapkan kebijakan negara, serta fungsi khusus dan kontrol di bidang keamanan informasi negara, adalah FSTEC (Layanan Federal untuk Kontrol Teknis dan Ekspor). Dokumen peraturan utama untuk GIS (sistem informasi negara) dan ISPDn (sistem informasi data pribadi), sesuai dengan pesanan No. 17, 21 dan 31, adalah dokumen metodologis dari FSTEC “Langkah-langkah untuk melindungi informasi dalam sistem informasi negara”. Dokumen tersebut menjelaskan metodologi untuk menerapkan langkah-langkah organisasi dan teknis untuk melindungi informasi di negara bagian dan sistem informasi terkait (IP).

Dokumen ini menyatakan bahwa persyaratan keamanan informasi tergantung pada kelas keamanan sistem. Hanya ada tiga kelas - K1, K2, K3, yang ditujukan untuk memastikan kerahasiaan, integritas, dan aksesibilitas informasi yang diproses dalam sistem. Kelas pertama (K1) adalah yang tertinggi, kelas ketiga (K3) adalah yang terendah. Kelas sistem tergantung pada dua parameter: pada tingkat signifikansi informasi yang diproses dan pada skala sistem informasi.

Dokumen FSTEC menjabarkan langkah-langkah keamanan informasi dalam sistem informasi, dimulai dengan identifikasi dan otentikasi dan berakhir dengan perlindungan IP itu sendiri, sarana dan sistem komunikasi dan transfer data. Proses keamanan informasi, menurut dokumen, harus disusun sebagai berikut:

1. definisi seperangkat tindakan perlindungan dasar sesuai dengan kelas IP,
2. adaptasi dari serangkaian tindakan dasar,
3. penyempurnaan tindakan sesuai dengan model ancaman,
4. Selain memperhitungkan kerangka kerja peraturan yang berbeda tentang perlindungan informasi.

Mereka punya

Di Amerika Serikat, NIST (Institut Nasional Standar dan Teknologi), Institut Nasional Standar dan Teknologi, bertanggung jawab untuk mengatur keamanan informasi negara dan organisasi komersial.

Sejak awal 1990-an, NIST telah menerbitkan Standar Proses Informasi Federal (FIPS) dan Publikasi Khusus yang lebih terperinci di bidang keamanan informasi. Salah satu publikasi dalam kategori ini, SP 800-53 rev., Berlaku untuk sistem pencegahan kebocoran data. 5 "Kontrol Keamanan dan Privasi untuk Sistem dan Organisasi Informasi". Dokumen ini belum disetujui, tetapi sudah ditutup untuk diskusi. Teks awal dokumen akan diterbitkan pada musim semi 2019, dan yang terakhir pada musim panas 2019.

Terlepas dari kenyataan bahwa dokumen-dokumen itu berbeda dalam strukturnya, pendekatan untuk memastikan keamanan informasi yang dijelaskan di dalamnya sebagian besar serupa. Pada saat yang sama, standar Amerika menunjukkan bias terhadap konsultasi:

1. Bagian Manajemen Dasar.
2. Bimbingan tambahan.
3. Meningkatkan kontrol dasar.
4. Kontrol terkait.
5. Bagian tautan ke kerangka kerja peraturan lain yang berlaku untuk kontrol atau yang meningkatkan elemen ini.
   

Kategorisasi sistem informasi berdasarkan kelas diatur oleh dokumen lain - FIPS 199. Pendekatan klasifikasi, seperti dalam rekomendasi FSTEC, didasarkan pada trias klasik "Kerahasiaan - Integritas - Aksesibilitas". Kekritisan maksimum ditentukan berdasarkan potensi dampak tertinggi pada IP dari salah satu elemen triad.

Jadi, kami akan memilih secara langsung langkah-langkah dan instruksi yang dapat dikaitkan dengan cara mencegah kebocoran data (lihat tabel di bawah).

Tabel perbandingan rekomendasi FSTEC dan NIST

Seperti dapat dilihat dari tabel, rekomendasi dasar NIST adalah tingkat yang lebih tinggi. Perlu dicatat, bagaimanapun, bahwa standar Amerika berisi instruksi langsung tentang penggunaan sistem pencegahan kebocoran data, termasuk bab terpisah tentang "legalisasi" sistem tersebut, di mana semua langkah yang diperlukan dijabarkan, dari prosedur hukum dan pengembangan kebijakan keamanan informasi, penunjukan tanggung jawab dan sebelum mengendalikan pertukaran informasi dengan pihak ketiga.

Standar Amerika memungkinkan penggunaan perangkat seluler pribadi untuk otentikasi dalam sistem informasi menggunakan mekanisme pemblokiran sementara dan / atau enkripsi yang kuat. Namun terlepas dari semua "kemajuan", dokumen itu tidak mengatakan bagaimana mengatur penggunaan perangkat ini untuk identifikasi dalam sistem pencegahan kebocoran data.

Di masa depan, karena meluasnya penggunaan sistem DLP dan peningkatan jumlah insiden yang diidentifikasi, jumlah litigasi akan meningkat. Dalam situasi seperti itu, sekadar "melegalkan" tidak cukup - kita membutuhkan basis bukti, dan itu tidak akan ada tanpa "ketidakterbatasan". NIST didedikasikan untuk ini dalam bab audit terpisah, AU-10, yang mendefinisikan konsep ini. Rekomendasi tambahan untuk penguatan menjelaskan prosedur untuk memastikan “tidak ada penolakan” ketika membuat, mengirim dan menerima informasi:

1. Pengumpulan informasi yang diperlukan tentang pengguna dan identifikasi dalam sistem informasi.
2. Validasi - konfirmasi identitas dan identitas.
3. Manajemen siklus hidup adalah proses pengumpulan informasi yang berkelanjutan dan verifikasi hak kepatuhan sesuai dengan tindakan yang diambil.
4. Verifikasi invarian / modifikasi informasi sebelum transmisi dan pemrosesan. Misalnya dengan menggunakan checksum.
5. Penggunaan tanda tangan elektronik .

Dalam rekomendasi FSTEC, prosedur untuk memastikan "non-repudiation" tidak dijelaskan secara rinci, meskipun persyaratan untuk memperkuat IAF.7 (identifikasi dan otentikasi objek sistem file) menunjukkan kebutuhan untuk "menggunakan bukti keaslian". Mungkin di masa depan, regulator akan mempertimbangkan langkah-langkah lebih rinci yang disarankan untuk diterapkan untuk memastikan "tidak ada penolakan".

Apa yang bisa saya pinjam

Menurut pendapat kami, rekomendasi berguna dari standar Amerika adalah:

1. kelayakan menggunakan sarana identifikasi / otentikasi, perlindungan lebih lanjut dari akun dan informasi yang dikirim sebagai bagian dari prosedur "tidak-penolakan". Rekomendasi tersebut dapat dimasukkan dalam standar Rusia dalam bentuk yang eksplisit dan disederhanakan tanpa menggunakan tanda tangan elektronik yang memenuhi syarat sesuai dengan Undang-Undang Federal No. 63.
2. regulasi mekanisme “legalisasi” DLP, dimulai dengan dukungan dokumenter dan diakhiri dengan pemberian informasi kepada pihak ketiga.

Mungkin di masa depan, rekomendasi ini akan tercermin dalam standar domestik.