ПхотоРобот Преглед међународног безбедносног пакета
Овај документ представља
Увод - Преглед&нбсп;међународног сигурносног пакета
Међународни безбедносни пакет пружа структурирани преглед глобалних техничких и оперативних безбедносних политика
Овај преглед објашњава сврху и обим сваке политике, како се међусобно повезују и како их купци треба тумачити током ревизије, процене добављача или техничких процеса дубинске анализе.
Сврха Међународног сигурносног пакета
Међународни безбедносни пакет постоји за:
- консолидовати све основне техничке безбедносне политике у јединствену референцу,
- обезбеђују јасноћу о управљању безбедношћу и оперативним одговорностима,
- подржати усклађеност са ГДПР-ом, ИСО 27001 принципима, СОЦ 2 усклађивањем и најбољим праксама у индустрији,
- обезбедити транспарентност за кориснике који процењују инфраструктуру и контролу заштите података,
- допуњују резимее вишег нивоа који се налазе у пакету Ентерприсе Цомплианце.
Компоненте Међународног сигурносног пакета
Следеће политике чине окосницу техничког и оперативног безбедносног положаја
КСНУМКС . Политика безбедносне архитектуре
Дефинише архитектонске заштитне мере које се користе за изолацију радних оптерећења, спровођење граница и минимизирање површине напада.&нбсп;&нбсп;
Теме укључују:
- слојевити дизајн услуга,&нбсп;&нбсп;
- раздвајање привилегија,&нбсп;&нбсп;
- принципи изолације ресурса,&нбсп;&нбсп;
- аутентификација од сервиса до сервиса,&нбсп;&нбсп;
- захтеви за архитектонски преглед.
2 . Политика контроле приступа
Успоставља правила за управљање животним циклусом идентитета и овлашћења за приступ.&нбсп;&нбсп;
Она обухвата:
- Извршење МФА,&нбсп;&нбсп;
- РБАЦ структуре и дефиниције улога,&нбсп;&нбсп;
- контроле за укрцавање и искључивање,&нбсп;&нбсп;
- надгледање привилегованог приступа,&нбсп;&нбсп;
- периодични прегледи приступа.
Ова политика осигурава да само овлашћени појединци приступају системима и подацима.
3 . Политика шифровања и криптографије
Дефинише обавезне праксе шифровања:
- АЕС -256 енкрипција у мировању,&нбсп;&нбсп;
- ТЛС 1.2 + енкрипција у транзиту,&нбсп;&нбсп;
- протоколи за управљање кључевима,&нбсп;&нбсп;
- аутоматизовани циклуси ротације,&нбсп;&нбсп;
- одобрени пакети за шифре.
Политика такође наводи ограничења за извоз криптографских материјала.
КСНУМКС . Политика реаговања на инциденте
Обезбеђује комплетан процес животног циклуса за реаговање на безбедносне инциденте.&нбсп;&нбсп;
Кључни елементи укључују:
- откривање и узбуњивање,&нбсп;&нбсп;
- класификација озбиљности,&нбсп;&нбсп;
- поступци сузбијања и искорјењивања,&нбсп;&нбсп;
- токови комуникације,&нбсп;&нбсп;
- смјернице за форензичко прикупљање,&нбсп;&нбсп;
- преглед након инцидента и корективне мере.
ИР политика обезбеђује конзистентност и одговорност током догађаја високе озбиљности.
5 . Политика управљања имовином
Одређује правила за праћење и заштиту имовине, укључујући:
- инвентар хардвера,&нбсп;&нбсп;
- инвентар софтвера,&нбсп;&нбсп;
- конфигурациона документација,&нбсп;&нбсп;
- одобрена окружења за распоређивање,&нбсп;&нбсп;
- класификација осетљивих компоненти.
Ова политика подржава крпљење, идентификацију ризика и оперативну хигијену.
6 . Политика управљања променама
Описује контроле потребне за модификацију производних система, укључујући:
- потребна одобрења,&нбсп;&нбсп;
- процене ризика,&нбсп;&нбсп;
- планови за враћање,&нбсп;&нбсп;
- планирани прозори за распоређивање,&нбсп;&нбсп;
- Захтеви за верификацију издања.
Обезбеђује стабилан, предвидљив рад и усклађује се са очекивањима СОЦ 2 контроле промена.
КСНУМКС . Политика резервне копије и континуитета пословања
Дефинише заштитне мере за обезбеђивање отпорности система:
- резервна фреквенција и правила енкрипције,&нбсп;&нбсп;
- географска редундантност,&нбсп;&нбсп;
- распоред тестирања рестаурације,&нбсп;&нбсп;
- процедуре опоравка од катастрофе,&нбсп;&нбсп;
- планирање континуитета.
Ова политика регулише способност
8 . Политика евидентирања и праћења
Обриси:
- потребни типови дневника,&нбсп;&нбсп;
- обавезе задржавања,&нбсп;&нбсп;
- прагови праћења,&нбсп;&нбсп;
- процедуре откривања аномалија,&нбсп;&нбсп;
- протоколи рутирања упозорења.&нбсп;&нбсп;
Политика обезбеђује видљивост оперативних и безбедносних догађаја.
Однос према америчком безбедносном прегледу
Преглед безбедности САД обезбеђује:
- објашњења на високом нивоу,&нбсп;&нбсп;
- извршни резимеи,&нбсп;&нбсп;
- наративи спремни за набавку.
Међународни безбедносни пакет обезбеђује:
- дубина на нивоу политике,&нбсп;&нбсп;
- оперативни захтеви,&нбсп;&нбсп;
- управљачке структуре,&нбсп;&нбсп;
- техничка очекивања.
Они су комплементарни:&нбсп;&нбсп;
- Преглед САД = оно што радимо ; &нбсп;&нбсп;
- Сецурити Пацк = како то радимо .
Када купци треба да користе овај пакет
Овај пакет је посебно користан када:
- пролази кроз детаљне безбедносне ревизије,&нбсп;&нбсп;
- попуњавање СОЦ 2 или ИСО-усклађених упитника добављача,&нбсп;&нбсп;
- обављање интерних безбедносних прегледа,&нбсп;&нбсп;
- потврђивање усклађености са ГДПР-ом или регулисаним токовима података,&нбсп;&нбсп;
- Разматрање техничких очекивања за он-прем или хибридне имплементације.
Међународни купци се ослањају на овај пакет као ауторитативни извор истине о оперативној безбедности.
Управљање и верзионисање
Политике се прегледавају и ажурирају према:
- циклуси унутрашњег управљања,&нбсп;&нбсп;
- регулаторне промене,&нбсп;&нбсп;
- препоруке за ревизију,&нбсп;&нбсп;
- архитектонска еволуција,&нбсп;&нбсп;
- Учење након инцидента.
Свака политика укључује историју верзија, обим и описе измена.
Закључак
Међународни безбедносни пакет чини техничку основу глобалног безбедносног програма