Коментарі до основних родин заходів захисту NIST

Коментарі до основних родин заходів захисту NIST:

• AC-: Access Control (управління доступом)
• IA-: Identification and Authentication (ідентифікація і автентифікація)
• SC-: System and Communications Protection (захист мереж і систем)
• AU-: Audit and Accountability (журналювання і аудит)
• SA-: System and Services Acquisition (розробка та закупівля)
• SI-: System and Information Integrity (цілісність систем)
• CM-: Configuration Management (конфігурація)
• CP-: Contingency Planning (резервне копіювання)
• IR-: Incident Response (реакція на інциденти)

🪟 На стартову сторінку

Безпека архітектури ІТ-системи на базі Microsoft Azure

Щодо шаблонів рівнів архітектури ІТ-систем.

Доповнення до опису архітектури за посиланнями:
• Приклад опису архітектури системи згідно TOGAF
• Побудова віртуальної інфраструктури на базі Microsoft Azure
• Інформаційна архітектура ІТ-системи компанії. Приклад

Відповідність між компонентами, заходами захисту ISO/IEC 27001:2022 та відповідними родинами заходів захисту NIST SP 800-53 Rev. 5.

Мапінг компонентів на NIST SP 800-53 Rev. 5

№	Компонент	ISO/IEC 27001:2022	NIST SP 800-53 Rev. 5
1	Віртуальна мережа (VNet)	A.8.20, A.8.21, A.8.22, A.5.15, A.5.18	AC-4 (Information Flow Enforcement), SC-7 (Boundary Protection), AC-2 (Account Management), AC-6 (Least Privilege)
2	Шлюз за замовчуванням	A.8.20, A.8.21, A.8.22	SC-7, SC-5 (Denial-of-Service Protection)
3	DNS-сервер	A.8.6, A.8.9, A.8.25, A.8.27	CM-2 (Baseline Config), SI-2 (Flaw Remediation), SA-3 (System Development Process), SA-8 (Security Engineering)
4	Контролер домену (DC1, DC2)	A.5.16, A.5.17	IA-2 (User Identification & Authentication), IA-5 (Authenticator Management)
5	Файловий сервер (FS1)	A.5.9, A.5.10, A.5.15, A.5.18	AC-3 (Access Enforcement), MP-5 (Media Transport Protection), CM-8 (Information System Component Inventory)
6	Термінальний сервер (DevS1/RDS)	A.8.20, A.8.21, A.8.22, A.5.4	AC-17 (Remote Access), AC-19 (Access Control for Mobile Devices), SC-12 (Cryptographic Key Establishment)
7	Веб-сервер (WS1 – внутрішній)	A.8.26, A.8.28, A.8.20, A.8.21, A.8.22	SA-11 (Developer Security Testing), RA-5 (Vulnerability Scanning), SC-7, SI-10 (Information Input Validation)
8	Веб-сервер (WS2 – зовнішній)	A.8.25, A.8.27, A.8.20, A.8.21, A.8.22	SA-3, SA-8, CA-3 (System Interconnection), SI-10, SC-26 (Public Key Infrastructure Certificates)
9	Групи безпеки (NSG)	A.8.20, A.8.21, A.8.22, A.8.15, A.8.16	AC-4, SC-7, AU-6 (Audit Review), AU-12 (Audit Generation)
10	Azure Backup	A.8.13	CP-9 (Information System Backup), CP-10 (Recovery and Reconstitution)
11	Моніторинг і логування (Azure Monitor, Log Analytics)	A.8.15, A.8.16	AU-2 (Audit Events), AU-6, AU-12, IR-5 (Incident Monitoring)
12	Балансування навантаження (Azure Load Balancer, App Gateway)	A.8.20, A.8.21, A.8.22, A.8.25, A.8.27	SC-5, SC-7, SA-8, AC-17, CA-3

Додатково:
Коментарі до основних родин заходів захисту NIST
 → https://bga68comp.dreamwidth.org/804396.html

🪟 На стартову сторінку

Безпека архітектури ІТ-системи. Заходи захисту ISO/IEC 27001:2013 → 2022

Щодо шаблонів рівнів архітектури ІТ-систем.

Доповнення до опису архітектури за посиланнями:
• Приклад опису архітектури системи згідно TOGAF
• Побудова віртуальної інфраструктури на базі Microsoft Azure
• Інформаційна архітектура ІТ-системи компанії. Приклад
• Безпека архітектури ІТ-системи на базі Microsoft Azure. Мапінг компонентів на NIST SP 800-53 Rev. 5
• Основні категорії діаграм (за TOGAF + ISO 42010)

Відповідність заходів захисту ISO/IEC 27001:2013 → 2022

№	Компонент архітектури прикладу	Заходи захисту ISO/IEC 27001:2013	Заходи захисту ISO/IEC 27001:2022
1	Віртуальна мережа (VNet)	A.13.1, A.9.1	A.8.20, A.8.21, A.8.22, A.5.15, A.5.18
2	Шлюз за замовчуванням	A.13.1	A.8.20, A.8.21, A.8.22
3	DNS-сервер	A.12.1, A.14.1	A.8.6, A.8.9, A.8.25, A.8.27
4	Контролер домену (DC1, DC2)	A.9.2	A.5.16, A.5.17
5	Файловий сервер (FS1)	A.8.2, A.9.1	A.5.9, A.5.10, A.5.15, A.5.18
6	Термінальний сервер (DevS1/RDS)	A.13.1, A.9.4	A.8.20, A.8.21, A.8.22, A.5.4
7	Веб-сервер (WS1 – внутрішній)	A.14.2, A.13.1	A.8.26, A.8.28, A.8.20, A.8.21, A.8.22
8	Веб-сервер (WS2 – зовнішній)	A.14.1, A.13.1	A.8.25, A.8.27, A.8.20, A.8.21, A.8.22
9	Групи безпеки (NSG)	A.13.1, A.12.4	A.8.20, A.8.21, A.8.22, A.8.15, A.8.16
10	Azure Backup	A.12.3	A.8.13
11	Моніторинг і логування (Azure Monitor, Log Analytics)	A.12.4	A.8.15, A.8.16
12	Балансування навантаження (Azure Load Balancer, App Gateway)	A.13.1, A.14.1	A.8.20, A.8.21, A.8.22, A.8.25, A.8.27

Пояснення ключових нових заходів захисту ISO/IEC 27001:2022:

• A.8.20–A.8.22 – Безпека мереж, сервісів і сегментація
• A.8.25–A.8.28 – Безпека життєвого циклу розробки, архітектура і кодування
• A.5.15–A.5.18 – Контроль доступу, управління ідентичностями
• A.8.6 / A.8.9 – Потужність систем і конфігурації
• A.8.13 – Резервне копіювання
• A.8.15 / A.8.16 – Журналювання та моніторинг
• A.5.4 – Контроль доступу до ІТ-систем

Звісно, кожен архітектор безпеки може сказати, що використовував би трохи інші заходи захисту. Для цього можна посилатися на Annex B (informative) Correspondence of ISO/IEC 27002:2022 with ISO/IEC 27002:2013.
  Table B.1 — Correspondence between controls in ISO/IEC 27002:2022 and controls in ISO/IEC 27002:2013
  Table B.2 — Correspondence between controls in ISO/IEC 27002:2013 and controls in ISO/IEC 27002:2022

🪟 На стартову сторінку