
Co znajdziesz w tym artykule?
Po co właściwie powinienem znać lub pracować w zgodności z jakimikolwiek standardami?
Gdy zaczynałem swoje pierwsze zadania jako administrator, czy specjalista ds. bezpieczeństwa moim największym problemem był brak świadomości zagrożeń. Nie brakło mi chęci, bo zawsze chciałem wykonywać swoją pracę jak najlepiej. Nie brakowało mi też czasu – pomimo presji zawsze miałem możliwość przesunięcia terminu z powodu potrzeby dodatkowych testów. Brakowało mi właśnie świadomości, a w konsekwencji też i wiedzy. Nie wiedząc jakie pytania powinienem sobie zadać, nie wiedziałem do czego należało się przygotowywać.
Konsekwencją powyższego były braki w poziomie bezpieczeństwa, które w najgorszym przypadku mogły prowadzić do nieprawidłowego działania systemu lub aplikacji. Następstwem mogła być nawet kompromitacja danych.
Zwłaszcza kiedy nie wiesz jak, to nie ma sensu wymyślać koła na nowo. Trzymanie się dobrych praktyk to wyciąganie wniosków z doświadczeń wielu specjalistów zajmujących się bezpieczeństwem IT. To również poszerzenie swojego horyzontu w kontekście zakresu, o który dbamy w naszej organizacji. Jest to często również znajdywanie wspólnego języka z audytorami, kierownictwem i innymi osobami zajmującymi się bezpieczeństwem.
Poniżej moja lista dokumentów, z których sam korzystam. Większość z nich jest darmowa i w języku angielskim.

7 Standardów, Które Wspomogą Cię W Utrzymaniu Bezpieczeństwa IT:
1. CIS BENCHMARK
Dokumenty CIS Benchmark od organizacji The Center for Internet Security, Inc. (CIS) dostarczają globalnych standardów bezpieczeństwa w Internecie. Są uznanym światowym standardem i najlepszymi praktykami w zakresie zabezpieczania systemów IT i danych przed atakami. Każdy dokument dotyczący systemu operacyjnego jest bardzo obszerny i dostarcza kompleksową instrukcję, jak go zabezpieczyć. Dokumenty te udostępniane są bezpłatnie w celu propagowania ich stosowania na całym świecie. CIS Benchmark to oparte na najlepszych praktykach przewodniki po konfiguracji zabezpieczeń opracowane i akceptowane przez rządy, biznes, przemysł i środowisko akademickie.
Notatka Osobista: Używam tych dokumentów do opracowania standardów bezpieczeństwa systemów.

2. ISO/IEC 27001
ISO/IEC 27001 to norma międzynarodowa standaryzująca Systemy Zarządzania Bezpieczeństwem Informacji. Stosuje dobrze znany model PDCA, który jest stosowany do całej struktury procesów SZBI.
Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma ISO 27001 zawiera opis zabezpieczeń, które należy stosować w celu ograniczenia ryzyka. Znajdziesz je w Załączniku A i Tablicy A.1. Nie zawierają konkretnych rozwiązań ani instrukcji. Pomogą nam natomiast zastanowić się czy stosujemy opisane zabezpieczenia i czy są one wystarczające dla naszej organizacji.
Dokument ISO/IEC 27001 jest licencjonowany i w wersji polskiej możliwy do zakupienia w sklepie Polskiego Komitetu Normalizacyjnego.
Więcej o ISO 27001 pisałem tutaj.
Notatka Osobista: Używam tej normy i innych z nią powiązanych do przeprowadzania audytów i do zastanowienia się, czy pokrywam swoimi działaniami wszystkie wymienione opisy zabezpieczeń.

3. Open Source Security Testing Methodology Manual (OSSTMM)
Opracowany przez firmę ISECOM dokument OSSTMM zawiera kompletną metodologię testowania, analizy i pomiaru bezpieczeństwa operacyjnego w celu zbudowania jak najlepszych zabezpieczeń. Opisuje on wiele aspektów bezpieczeństwa. Projekt jest całkowicie darmowy. Metodologia ta jest dobrze rozpoznawalna zwłaszcza w środowisku audytu i testerów bezpieczeństwa. Dokument jest bardzo obszerny i szczegółowy.
Notatka Osobista: Używam tej metodologii do prowadzenia testów bezpieczeństwa i znajdowania podatności.

4. CIS CONTROLS
CIS Controls to dokument zawierający zestaw działań z określonymi priorytetami. Łącznie tworzą zestaw najlepszych praktyk mających na celu minimalizacje najczęstszych ataków na systemy i sieci. Kolejne wersje dokumentu opracowywane są przez społeczność ekspertów IT. Ten dokument nie da Ci rozwiązań krok po kroku ale pomoże w podnoszeniu poziomu bezpieczeństwa. Działania opisane w nim są skategoryzowane dla każdego z 3 zdefiniowanych w nim typów przedsiębiorstw (Implementation Group). Stworzony przez The Center for Internet Security, Inc. (CIS).
Notatka Osobista: Używam tego dokumentu w celu sprawdzenia, czy pokrywam swoimi działaniami wszystkie wymienione opisy zabezpieczeń.

5. OWASP Top 10
OWASP Top 10 to dokument zawierający standard dla programistów i testerów dotyczący bezpieczeństwa aplikacji internetowych. Stworzony przez OWASP Foundation. Przedstawia szeroki kontekst dziesięciu najbardziej krytycznych zagrożeń bezpieczeństwa aplikacji internetowych. Korzystanie z OWASP Top 10 jest prawdopodobnie najskuteczniejszym pierwszym krokiem w kierunku zmiany kultury tworzenia oprogramowania w Twojej organizacji oraz testów bezpieczeństwa aplikacji webowych. Dostępny bezpłatnie.
Notatka Osobista: Korzystam z tego standardu, kiedy testuję aplikacje webowe.


6. NIST CYBERSECURITY FRAMEWORK
A dokładniej Framework for Improving Critical Infrastructure Cybersecurity od National Institute of Standards and Technology (NIST). NIST Cybersecurity Framework to zbiór wytycznych dla firm. Dzięki ich stosowaniu przedsiębiorstwo powinno być lepiej przygotowane do identyfikacji, blokowania, wykrywania i reagowania na skutki ataków. To zestaw najlepszych praktyk, standardów i zaleceń, które pomagają organizacji podnosić poziom cyberbezpieczeństwa. Darmowy i mający za zadanie ujednolicenie standardów dla przedsiębiorstw z niego korzystających. Rozpoznawalny wśród audytorów IT.
Notatka Osobista: Korzystam z tego standardu, kiedy wiem, że pracuje z nim audytowane przedsiębiorstwo. Znacznie ułatwia to znalezienie wspólnego języka.

7. MITRE ATT&CK
Jest to globalnie dostępna baza wiedzy na temat taktyk i technik atakującego opartych na obserwacjach w świecie rzeczywistym. Baza wiedzy ATT&CK jest wykorzystywana jako podstawa do opracowywania konkretnych modeli zagrożeń i metodologii w sektorze prywatnym, w rządzie oraz w społeczności produktów i usług związanych z cyberbezpieczeństwem. Pomaga ona w obraniu perspektywy osoby lub organizacji chcącej przeprowadzić atak na naszą organizację. Zawiera również opis jakie potencjalnie techniki mogą zostać wykorzystane podczas ataku.
Notatka Osobista: Otwiera oczy i korzystam z tej bazy wiedzy, aby dogłębnie zastanowić się nad poziomem bezpieczeństwa przedsiębiorstwa widzianym od zewnątrz.

Podsumowanie

Czy powinieneś się zastosować do wszystkich wymienionych powyżej norm i dokumentów?
Oczywiście, że nie! To tylko niektóre z wielu dokumentów usprawniających pracę przy wdrożeniach bezpieczeństwa komputerowego. Decyzja, którego standardu powinieneś się trzymać zależy od Twojej organizacji i zadań, przed którymi stoisz. Jeśli nie masz narzuconego standardu przez swoją organizację, wybierz taki, który najbardziej przypadnie Ci do gustu. Będzie to i tak lepsze niż bazowanie TYLKO na swoich doświadczeniach. Jeżeli wcześniej nie stosowałeś tego typu narzędzi, to początkowo może być trudno ale nie zniechęcaj się.
Każdy z omówionych powyżej standardów omówię na łamach tego bloga. Daj znać w komentarzu, który powinien być pierwszy. A jaki jest standard, którego Ty się trzymasz i jest godny polecenia w Twojej pracy?
