13.12.2023

NIST Cyber Security Framework (NIST CSF) являє собою рамковий стандарт, розроблений Національним інститутом стандартизації США (NIST). Цей стандарт визначає підхід до розуміння, оцінки, планування та впровадження функцій кібербезпеки для підприємств, що є складовими критичної інфраструктури.
Дослідження, проведене у 2016 році, показало, що 70% опитаних організацій вважали NIST Cybersecurity Framework найпопулярнішою передовою методологією для забезпечення комп'ютерної безпеки.
Цей стандарт був перекладений багатьма мовами, включно з українською. Він широко використовується для забезпечення ефективного кіберзахисту на підприємствах критичної інфраструктури та в державних органах по всьому світу. Комерційні підприємства та організації також використовують NIST Cybersecurity Framework як основний орієнтир для побудови надійної системи кібербезпеки. Структуру NIST Cybersecurity Framework формує ієрархія ключових підходів до забезпечення інформаційної безпеки (ІБ). Мета стандарту полягає в тому, щоб допомогти організаціям розробляти, впроваджувати та удосконалювати програми кібербезпеки, враховуючи особливості їх діяльності та ризики.
У 2021 році на веб-сайті Державної служби зв’язку та захисту інформації України було опубліковано переклад вимог NIST CSF. Однак важливо відзначити, що було проведено не лише професійний переклад, а й вдосконалена методологія оцінки поточного стану кіберзахисту.
Стандарт NIST CSF призначений для широкого кола організацій і суб'єктів, які прагнуть забезпечити ефективний кіберзахист. Зокрема, він актуальний для:1. Підприємств критичної інфраструктури: організації, які грають ключову роль у забезпеченні життєво важливих послуг і функцій суспільства, таких як енергетика, транспорт, здоров'я тощо.2. Комерційних підприємств: бізнес-структури, які бажають підвищити рівень своєї кібербезпеки для захисту від кіберзагроз і збитків.3. Державних установ: органи влади, які відповідають за збереження конфіденційності, цілісності та доступності інформації та інфраструктури.4. Будь-яких організацій, що працюють з інформацією: враховуючи сучасний характер кіберзагроз, NIST CSF може бути корисним для будь-якої організації, яка опрацьовує та зберігає чутливу інформацію.
Розуміючи це, виникає питання: як визначити, яка саме організація відноситься до об'єкту критичної інфраструктури?
Проходження аудиту згідно зі стандартом NIST CSF та впровадження кіберзахисту відповідно до цього стандарту є необхідним для всіх компаній, які визначені як об'єкти критичної інфраструктури з боку Кабінету Міністрів, Держспецзв'язку та Національного банку України. Це дозволяє забезпечити ефективний захист від кіберзагроз і зберегти стійкість критичних інфраструктурних об'єктів перед потенційними кібератаками.
Реєстр об'єктів сформований, але він є секретним документом під час війни. До таких об'єктів відносяться не лише державні підприємства, такі як банки, силові структури, атомні та гідроелектростанції, газо-електророзподільні станції, а й комерційні, наприклад, продуктові мережі, гіпермаркети, аптеки, АЗС, нафтосховища, вокзали, транспортні та логістичні вузли. Також до них відносяться будь-які організації, незалежно від форми власності, від яких залежить забезпечення життєдіяльності населення.
Будь-який об'єкт критичної ІТ-інфраструктури стає пріоритетною метою для агресора під час війни, що включає в себе й кібервійну. Якщо ваша компанія відноситься до таких об'єктів, слід серйозно підходити до захисту ІТ-інфраструктури.Побудова захисту ІТ-інфраструктури починається з визначення: що саме має бути захищено? З чого складається об'єкт і де він розташований? Таким чином, початкова точка для відпрацювання відповідності стандарту NIST CSF - це інвентаризація та проведення відповідного документування всієї ІТ-інфраструктури критичного об'єкта.
Зосередьмо увагу на двох вимогах, які потрібно виконати.1. Перша вимога - інвентаризація обладнання та систем:● Визначте всі елементи обладнання, які входять до складу вашої ІТ-інфраструктури.● Здійсніть детальну інвентаризацію обладнання, включаючи сервери, комутатори, маршрутизатори, комп'ютери та інші пристрої.● Зазначте основні характеристики кожного пристрою, такі як IP-адреси, серійні номери, версії програмного забезпечення.2. Друга вимога - інвентаризація програмного забезпечення:● Оцініть усі програми, які використовуються у вашій ІТ-інфраструктурі.● Визначте версії програмного забезпечення та його ключові характеристики.● Забезпечте ведення актуального списку програм та їх компонентів на всіх системах.● Зазначте, які програми мають доступ до мережі, та обмежте доступ до необхідних.
Ці заходи допоможуть створити повну інвентаризацію вашої ІТ-інфраструктури. Але якщо у вас є досвід у подібних справах, ви вже наперед знаєте, з чим зіткнетеся і які труднощі чекають на вас.
Які завдання виникають на практиці? Наприклад, потрібно встановити антивірус, але ви не знаєте, скільки у всій ІТ-інфраструктурі комп'ютерів? Їх потрібно перерахувати та визначити їх типи. Які операційні системи встановлені на цих комп'ютерах? Цю інформацію також потрібно об'єднати в єдиний реєстр або каталог.
Якщо мета полягає в регулярному виявленні підозрілої активності на серверах, необхідно зрозуміти, скільки у нас серверів. Будь-яке завдання з кібербезпеки розпочинається з питання: "Хто в нас є об'єктом захисту?"
Для вирішення цих завдань, як правило, використовують таблицю Excel, в яку вносять інформацію про всі сервери, робочі станції, мережі та пристрої - відеокамери, контролери, датчики, каси для обслуговування роздрібних покупців. Така робота займає багато часу, при заповненні можуть виникати помилки, а зібрана інформація швидко застаріває.
Увесь процес, який ми вказали як приклад, має значущі недоліки - він складний, витратний та неефективний.
Для того, щоб спростити цей процес, був розроблений програмний продукт ITS Inventory. Він дозволяє провести початкову інвентаризацію та потім здійснювати постійну інвентаризацію всієї IT-інфраструктури в режимі реального часу.
ITS Inventory легко розгортається в ІТ-інфраструктурі, не вимагає встановлення агентів, простий у використанні та має зручний інтерфейс.
Користувач завжди має доступ до актуальної бази даних інвентаризаційної інформації про ІТ-інфраструктуру компанії. При цьому виконуються всі вимоги NIST CSF, які стосуються інвентаризації.
Спеціально для відповідності різним стандартам безпеки в ITS Inventory передбачено розширення - комплаєнс-модуль, який допомагає провести аудит інфраструктури на відповідність іншим вимогам стандарту. Це дозволяє сформулювати чіткий план впровадження відповідності стандарту NIST CSF.
З використанням ITS Inventory легко та швидко досягається відповідність стандарту NIST CSF і, як результат, під час аудиту не виникає проблем.
Наприкінці статті повернемося до головної думки – інвентаризація ІТ-інфраструктури є найважливішим процесом кібербезпеки, оскільки від неї безпосередньо залежить якість реалізації всіх інших захисних механізмів.
Дійсно оцінити всі переваги ITS Inventory можна на практиці. Запрошуємо компанії, які відносяться до критичної інфраструктури, ознайомитися з демо-версією ITS Inventory.