24 мая 2022

Драфт третьей ревизии руководства NIST под номером 800-82

Выпуск третьей ревизии Руководства NIST под номером 800-82 — это без преувеличения событие.

Первая ревизия руководства о 2013 года была долго чуть не единственным документом, в котором можно было почитать что за зверь такой, безопасность АСУ ТП. Она, впрочем, довольно быстро устарела и в 2015 ее заменила вторая ревизия. Тогда тоже не очень густо было с публикациями по теме безопасности промышленных систем, а руководство содержало в себе, как хорошая поваренная книга, и таблицу мер и весов, и правила хорошей кухни, и рецепты — в роли первого выступали подробные различия IT и OT, вторых — организация и внедрение программы безопасности, а третьих — виды сегментации сети, правила фильтрации конкретных протоколов на промышленном файрволле и способы предотвращения отдельных векторов атак.

Документ читали, цитировали, переводили и переиспользовали бесчисленное количество раз. Но уже года три он подзабыт и не используется, и тут — драфт третьей ревизии.

Будет ли он так же хорош, как предыдущие версии? В чем отличия?

Подробное сравнение имеет смысл делать для стабильной версии, которая должна появиться через пару месяцев. Пока же — первый взгляд на драфт, без глубокого анализа.

Первое, что бросается в глаза — ICS повсеместно заменили на OT (Operational Technology).

ICS Operation and Components заменили на OT Operation, Architectures and Components и дополнительно включили в раздел следующие виды систем

  • Building Automation Systems
  • Physical Access Control Systems
  • Safety Systems
  • Industrial Internet of Things

(это при том что в первой версии были только Components — Network Components и Control Components).

То есть растет и разнообразие компонентов, и множество тех их аспектов, которые покрывает гайд. Это логично, исходя из роста отрасли OT-кибербезопасности за 7 лет, прошедшие с прошлой ревизии.

При этом сама структура документа-драфта третьей ревизии не очень сильно отличается от второй ревизии. Те же шесть разделов, только поменяли местами управление рисками и разработку программы кибербезопасности. Термин Security во второй ревизии заменили на Cybersecurity в драфте — не в последнюю очередь, потому что нужна координация с NIST Cybersecurity Framework.

Тут мы, наверное, подходим к главному (и к тому, что вряд ли изменится в финальной версии). Драфт третьей ревизии в описании мероприятий ИБ (такими как, к примеру, управление рисками) очень плотно интегрирован с положениями NIST Cybersecurity Framework, в то время как первая версия только упоминает этот документ. Вообще была ассоциация — 800-82 во второй ревизии в части мер безопасности (security controls) не существовал без NIST 800-53 как каталога этих controls. Шестой раздел назывался Applying Security Controls to ICS, а теперь предлагается назвать его Applying the Cybersecurity Framework to OT.

Как из этого следует, основное руководство по применению организационных и технических мер теперь упорядочено в логике CSF: как выполнить функции CSF (Identify, Protect, Detect, Respond, and Recover). Функции в CSF конкретизируются через отдельные категории и подкатегории действий, для выполнения которых предлагается реализовать определенные controls из NIST 800-53 и/или следовать другим указанным руководствам NIST.

Это существенное улучшение и упорядочение рекомендаций в сравнении со второй ревизией. Раньше работа проходила через постоянные ссылки только к определенной версии гайда NIST 800-53, описанных в нем security controls — тьма тьмущая, неопытному читателю в них было легко запутаться, и было неясно, все ли необходимые controls удается учесть, полностью ли покрыт NIST 800-53 и главное, какие дополнительные источники (те же публикации NIST, другие рекомендации) можно и нужно использовать при проработке каждого security control. Ведь у NIST есть рекомендации и по управлению ИТ активами, и по разработке программы повышения осведомленности и обучения кибербезопасности, и по фильтрации по белым спискам приложений, и вообще — сложно найти, каких рекомендаций у них нет. Теперь нужные ссылки как минимум на американские публикации собраны вместе с рекомендуемыми security controls. Это точно упростит работу по сбору рекомендаций для повышения безопасности в смысле выполнения каждой из функций CSF.

Это очень классно, потому что это правильная архитектура выбора — для аналитика, инженера по безопасности, проектировщика средств защиты. Она помогает меньше упускать и делать меньше ошибок при решении сложных задач. В голову приходит шальная идея, почему бы не добавить в перечни supplemental guidance для категорий международные стандарты, а может быть — рекомендации вендоров, национальных регуляторов… с фильтрацией по источнику. Всемирная энциклопедия защиты OT получится, почему бы нет ?

В общем, кажется NIST 800-82 третьей ревизии имеет все шансы стать таким же шедевром которыми были первая и вторая. Без шуток.

Авторы
  • Екатерина Рудина

    Руководитель группы аналитиков по информационной безопасности, Kaspersky ICS CERT