Geekly articles weekly

FSTEC与NIST:俄罗斯和美国的泄漏保护

关于俄罗斯和西方心态差异的话题,已经写了许多文章,出版了许多书籍,拍摄了许多电影。 从每天的细微差别到规则制定,智力差异贯穿所有内容,包括信息泄漏保护(DLP)系统的应用领域。 因此,我们有一个想法,为读者准备了一系列文章,比较了俄罗斯和美国的泄漏保护方法。

图片

在第一篇文章中,我们比较了俄罗斯监管机构和外国监管机构在信息保护方面的建议的异同,其中泄漏保护系统可能在某种程度上适用。 在第二部分中,我们将讨论主要DLP系统在组件模块方面对俄罗斯联邦FSTEC建议的GIS保护措施的适用性。 第三,我们考虑与美国NIST美国标准的建议相关的相同的泄漏保护系统列表。

那么,关于可以使用DLP系统的信息保护,俄罗斯联邦的FSTEC和NIST US向我们建议什么? 这个问题的答案已被削减。

和我们一起


在俄罗斯联邦,执行国家政策以及国家信息安全领域的特殊和控制职能的机构是FSTEC(技术和出口控制联邦服务)。 根据第17、21和31号命令,针对GIS(状态信息系统)和ISPDn(个人数据信息系统)的主要法规文件是FSTEC“状态信息系统中的信息保护措施”的方法论文件。 该文件描述了一种用于实施组织和技术措施以保护州及相关信息系统(IP)中信息的方法。

该文档指出,信息安全要求取决于系统的安全级别。 只有三类-K1,K2,K3,它们旨在确保系统中处理的信息的机密性,完整性和可访问性。 第一级(K1)最高,第三级(K3)最低。 系统的类别取决于两个参数:已处理信息的重要性级别和信息系统的规模。

FSTEC文件详细说明了信息系统中的信息安全措施,从标识和认证开始,到以IP本身,通信和数据传输的手段和系统的保护结束。 根据该文档,信息安全过程的结构应如下:

  1. 根据IP类别定义一套基本的保护措施,
  2. 调整基本措施,
  3. 根据威胁模型改进措施,
  4. 此外,还要考虑到有关信息保护的不同监管框架。

他们有


在美国,国家标准技术研究所(NIST),国家标准技术研究所(NIST)负责规范州和商业组织的信息安全。

自1990年代初以来,NIST已发布了联邦信息处理标准(FIPS)和信息安全领域中更详细的特殊出版物。 此类别中的出版物之一,SP 800-53,修订版,适用于数据泄漏预防系统。 5“信息系统和组织的安全和隐私控制”。 该文档尚未获得批准,但已经关闭以供讨论。 该文档的初步文本将在2019年春季发布,最后一篇将在2019年夏季发布。

尽管文档的结构不同,但是其中描述的确保信息安全的方法在很大程度上相似。 同时,美国标准对咨询产生了偏见:

  1. 基本管理科。
  2. 附加指导。
  3. 完善基本控制。
  4. 相关控件。
  5. 指向适用于控件或改进此元素的另一个法规框架的链接的一部分。

信息系统的分类由另一个文档FIPS 199规范。分类方法,如FSTEC的建议一样,基于经典的三合会“机密性-完整性-可访问性”。 根据三合会元素之一对IP的潜在最大影响来确定最大临界度。

因此,我们将直接挑选出可归因于防止数据泄漏的措施和说明(请参见下表)。

FSTEC和NIST建议的比较表


图片

从表中可以看出,NIST的基本建议水平较高。 但是,值得注意的是,美国标准包含有关使用数据泄漏预防系统的直接说明,包括关于此类系统“合法化”的单独一章,其中详细说明了所有必要措施,包括法律程序和信息安全政策的制定,责任人的任命。并且控制与第三方的信息交换。

美国标准允许使用个人移动设备在使用临时阻止机制和/或强加密的信息系统中进行身份验证。 但是,尽管具有所有的“先进性”,但该文件并未说明如何规范这些设备在数据泄漏预防系统中用于识别的使用。

将来,由于DLP系统的广泛使用以及发现的事件数量的增加,诉讼数量将会增加。 在这种情况下,仅仅“合法化”是不够的-我们需要证据基础,没有“不可抗拒性”就不可能存在。 NIST在单独的审核章节AU-10中对此进行了专门介绍,该章节定义了此概念。 关于加强的其他建议描述了在创建,发送和接收信息时确保“不可否认”的程序:

  1. 收集有关用户的必要信息并在信息系统中进行标识
  2. 验证 -身份和身份的确认。
  3. 生命周期管理是一个连续的过程,它根据所采取的措施收集信息并验证合规性。
  4. 在传输和处理之前验证不变性/信息修改 。 例如,通过使用校验和。
  5. 电子签名的使用。

在FSTEC的建议中,尽管加强IAF.7 (文件系统对象的标识和认证)的要求表明需要“使用真实性证据”,但并未详细描述确保“不可抵赖性”的程序。 也许将来,监管机构将更详细地考虑为确保“不可抵赖性”而建议采取的措施。

我可以借什么


我们认为,美国标准的有用建议是:

  1. 方便使用识别/认证方式,作为“不可否认”程序的一部分,进一步保护帐户和传输的信息。 这些建议可以按照任何明确和简化的形式包含在俄罗斯标准中,而无需使用符合联邦法律第63号的合格电子签名。
  2. DLP“合法化”机制的监管,从文档支持开始,到向第三方提供信息结束。

也许将来,这些建议将反映在国内标准中。

Source: https://habr.com/ru/post/zh-CN433892/

More articles:


All Articles