Awareness

Общие критерии и Национальное партнерство по обеспечению безопасности информации 

by Альянс Лазаря 0 комментарий
Цифровая панель инструментов, отображающая ход аудита Common Criteria в режиме реального времени с платформы ITAM Lazarus Alliance.

В развивающемся мире международной ИТ-инфраструктуры и безопасности критически важно, чтобы организации и регулирующие органы имели стандарт для эффективной оценки технологий. Ключевым игроком в Соединенных Штатах, который работает над поддержанием этих стандартов, является Национальное партнерство по обеспечению безопасности информации (NIAP).

NIAP управляет Схемой оценки и проверки по общим критериям (CCEVS) в Соединенных Штатах, гарантируя, что коммерческие ИТ-продукты соответствуют надежным, признанным на международном уровне стандартам безопасности. 

В данной статье рассматривается взаимосвязь между NIAP и управлением стандартами Common Criteria в США, включая обсуждение некоторых из этих стандартов. 

 

Что такое общие критерии оценки и схемы валидации?

Команда Схема оценки и валидации общих критериев (CCEVS) Стандарт обеспечивает эффективную и надежную оценку безопасности ИТ-продукта. Эта международная схема соответствует стандартам ISO и в США администрируется NIAP совместно с Национальным институтом стандартов и технологий (NIST).

CCEVS основан на ISO / IEC 15408, что обычно не является обязательным для организаций. Однако, поскольку Общие критерии предоставляют пользователям основу для указания своих требований безопасности, они часто включаются в регулирующие органы и структуры и иным образом управляются ими для содействия стандартному тестированию. Затем поставщики могут внедрять и/или делать заявления об атрибутах безопасности своих продуктов в соответствии с этим стандартом. Аналогичным образом, испытательные лаборатории могут оценивать эффекты, чтобы определить, соответствуют ли они заявлениям.

В этом процессе участвуют руководящие органы, использующие CCEVS для аккредитации. Общие критерии Тестовые лаборатории (CCTL) в этих юрисдикциях, чтобы гарантировать, что они последовательно проводят аудиты ИТ-продуктов и услуг. Это приводит к уровню уверенности в функциональности безопасности оцениваемых ИТ-продуктов.

 

Что такое Национальное партнерство по обеспечению безопасности информации?

общие критерии представлены

NIAP — это инициатива правительства США, созданная Агентством национальной безопасности (АНБ) и NIST. Целью NIAP является оценка соответствия ИТ-продуктов стандартам Common Criteria.

Одним из основных способов, с помощью которых NIAP выполняет свою миссию, является администрирование CCEVS, используемого для руководства CCTL. Таким образом, NIAP предоставляет руководство и требования для конкретных Профили защиты (PP) или схемы оценки безопасности, которые применяются к конкретным ИТ-продуктам, процессам или практикам. 

 

Что такое профиль защиты в оценке по общим критериям?

Профиль защиты определяет требования безопасности для определенной категории ИТ-продуктов, таких как сетевые устройства, межсетевые экраны, мобильные устройства, биометрические системы и т. д. Он включает обзор проблемы безопасности, которую решают продукты, любые предположения относительно их рабочей среды и конкретные цели безопасности.

Одной из важных частей профиля защиты является набор функциональных требований безопасности (SFR) и требований обеспечения безопасности (SAR), которым должны соответствовать продукты. SFR описывают ожидаемое поведение и функции продукта. SAR описывают шаги, которые необходимо предпринять во время разработки и тестирования продукта, чтобы гарантировать его соответствие своим SFR.

В случае применения оценки Common Criteria в США NIAP определяет PPs в соответствии с требованиями CC и сопоставляет их с мерами безопасности, определенными в Специальной публикации NIST 800-53 — каталоге мер безопасности, реализованных в различных стандартах безопасности США, таких как FISMA и FedRAMP.

 

Примеры профилей защиты

Для получения сертификации NIAP продукт должен соответствовать утверждённому профилю защиты NIAP (PP). Это подразумевает проведение оценки в испытательной лаборатории Common Criteria (CCTL), аккредитованной NIAP.

Согласно веб-сайту NIAP, десятки хорошо структурированных PPs применяются к нескольким стандартным технологиям. Некоторые из этих PPs включают:

  • Почтовые клиенты: PP для почтовых клиентов включает требования к криптографии, аутентификации и авторизации, чтобы поддерживать и защищать первоначальную безопасность почтового сервера. Стандартные элементы управления, сопоставленные с этим PP, включают элементы из семейств System and Communication Protection (SC), Identification and Authentication (IA) и Configuration Management (CM).
  • Зашифрованное хранилище: Существует несколько PP для зашифрованного хранилища, включая шифрование всего диска, управление шифрованием на уровне предприятия и шифрование на уровне файлов. Общие семейства управления, отображенные здесь, включают SC, IA и целостность системы и информации (SI).
  • Брандмауэры: CC требует базовых функций, которые большинство организаций ожидают от корпоративного брандмауэра. Такие функции включают разделение служб и привилегий для общих ресурсов внутри и вне периметра, контроль перемещения трафика через этот периметр, процессы обработки некорректного или вредоносного трафика и т. д. Сюда входит несколько элементов управления, аналогичных другим перечисленным здесь PP, включая элементы из семейств Audit and Accountability (AU), SC и CM.
  • Биометрия: Соответствие CC требует, чтобы биометрические продукты имели методы предотвращения подмены, обеспечивали достаточную надежность индивидуальной идентификации и поддерживали надежную регистрацию и создание шаблонов. Элементы управления, отображенные здесь, в основном относятся к семействам IA и SC.
  • Веб-браузеры: В этом документе рассматриваются вопросы безопасности, связанные с перехватом браузера и расширениями, а также содержатся требования к тестированию возможностей вредоносных сторонних инструментов. Кроме того, он требует, чтобы браузеры могли противостоять атакам с нарушением источника, обходящим политики контроля доступа. Представленные здесь элементы управления включают уже перечисленные, а также семейства контроля доступа (AC) и обработки и прозрачности персональных данных (PT). 

 

NIAP — это то же самое, что Национальная программа добровольной аккредитации лабораторий?

Национальная программа добровольной аккредитации лабораторий (NVLAP) и Национальное партнерство по обеспечению информации (NIAP) — это инициативы, связанные с тестированием и оценкой различных аспектов технологий и информационных систем, и обе они связаны с NIST как руководящим органом. Однако они выполняют разные функции и удовлетворяют разные потребности.

  • НВЛАП, которым NIST управляет напрямую, предоставляет аккредитацию третьей стороны испытательным и калибровочным лабораториям. Аккредитация NVLAP показывает, что лаборатория продемонстрировала, что она работает в соответствии с требованиями управления и техническими требованиями NVLAP и способна выдавать достоверные результаты.
  • НИАП, с другой стороны, является совместной инициативой АНБ и NIST. NIAP контролирует оценку коммерческих ИТ-продуктов для использования в национальных системах безопасности в соответствии со стандартами Common Criteria.

Хотя NVLAP не аккредитует специально CCTL, общие программы аккредитации NVLAP отражают важность сторонних оценок испытательных лабораторий — концепция, которая также является неотъемлемой частью работы NIAP через CCTL.

 

Соответствуйте общим критериям

Хотите соответствовать стандартам ISO, NIST или Common Criteria? Lazarus Alliance имеет многолетний опыт работы с отраслевыми и нормативными стандартами по всему миру. Свяжитесь с нами сегодня.

Если вы видите это сообщение, а не форму регистрации, вам все равно необходимо подтвердить свой адрес электронной почты.

Если вы получили это сообщение по ошибке, пожалуйста, свяжитесь с нами по телефону, указанному на нашем сайте, для получения помощи.

Преимущества сохранения Lazarus Alliance

Использование услуг Lazarus Alliance в области кибербезопасности и соответствия требованиям обеспечивает ряд ключевых преимуществ, основанных на их опыте и предложениях:

  1. Экспертное руководство от лучших профессионалов: В Lazarus Alliance работают всемирно признанные эксперты в области права киберпространства, кибербезопасности, управления рисками, аудита, соответствия требованиям и корпоративного управления. Программа Cybervisor® предоставляет доступ к услугам этих экспертов, обеспечивая разработку высококачественных, индивидуально разработанных стратегий для вашей организации.
  2. Комплексные решения по кибербезопасности: Они предлагают широкий спектр услуг, включая Рискованные оценки, тестирование на уязвимости и проникновение, аудиты соответствия (например, StateRAMP, FedRAMP, СОК 1-3, HIPAA, GDPR, стандартами качества ISO 27001), а также расширение Разработка ИТ-политики. Этот комплексный подход помогает организациям эффективно противостоять различным киберугрозам и соблюдать нормативные требования.
  3. Упреждающее управление рисками: Их комплексные стратегии управления рисками ориентированы на оценку и минимизацию угроз в режиме реального времени, помогая предотвращать нарушения, финансовое мошенничество и ущерб репутации. Например, они делают акцент на проактивных мерах, чтобы избежать упоминания в отраслевых отчётах об утечках.
  4. Улучшение соответствия и эффективностиLazarus Alliance помогает ориентироваться в сложной нормативной среде, обеспечивая соответствие таким стандартам, как GDPR, CCPA и NIST. Клиенты, например, производственная компания среднего размера, сообщили о сокращении времени реагирования на инциденты на 50% и полном соблюдении нормативных требований после обращения к Lazarus Alliance.
  5. Индивидуально разработанные и масштабируемые услуги: Они обслуживают организации от стартапов до многонациональных корпораций во всех отраслях, предлагая индивидуальные решения, которые адаптируются к вашим конкретным потребностям и масштабируются по мере роста вашего бизнеса.
  6. Расширенная поддержка клиентов и инструменты: Их Программное обеспечение IT Audit Machine (ITAM) от Continuum GRC Автоматизирует и упрощает аудит, повышая прозрачность и эффективность. Клиенты высоко оценивают программное обеспечение за оптимизацию соответствия требованиям и поддержку непрерывного планирования безопасности.
  7. Экономически эффективное соответствиеLazarus Alliance помогает малому и крупному бизнесу экономически эффективно обеспечивать соответствие требованиям, предлагая инструменты и опыт, которые минимизируют сбои и обеспечивают максимальную безопасность. Отзывы клиентов подтверждают их способность предлагать ценные решения.
  8. Послужной список: Обладая более чем 25-летним опытом, они поддерживают ведущие мировые организации, заслужив признание за исключительную поддержку клиентов, экспертные знания и результаты. Клиенты отмечают высочайшие оценки за сертификацию и постоянную поддержку.
  9. Возможности партнерства: Для таких предприятий, как MSP-провайдеры или бухгалтерские фирмы, партнерство с Lazarus Alliance расширяет спектр предлагаемых услуг, увеличивает оплачиваемое время и повышает удержание клиентов за счет предоставления готовых решений по обеспечению соответствия требованиям.

Обратившись в Lazarus Alliance, организации получают доступ к экспертным проактивным услугам по обеспечению кибербезопасности и соответствия требованиям, которые снижают риски, обеспечивают соблюдение нормативных требований и повышают операционную эффективность. Для получения дополнительной информации свяжитесь с ними по телефону 1-888-896-7580 или посетите сайт https://lazarusalliance.com.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: