§ Регуляторика на практиці

Mapping вашої системи на NIST 800-53

Як показати міжнародним замовникам відповідність NIST 800-53 на основі НД ТЗІ покриття.

ЧАС: 13 хв читанняСКЛАДНІСТЬ: Розширена

Українська експертиза захищеності — національний документ, який міжнародні замовники не розуміють. Натомість NIST 800-53 — фактичний lingua franca кібербезпеки у англомовному світі: банки, критична інфраструктура, охоронні компанії, ООН-структури, transatlantic-партнери питають «які 800-53 controls покриті». Стаття описує, як побудувати mapping НД ТЗІ → NIST 800-53 без повторної сертифікації.

Огляд NIST 800-53 Rev. 5

NIST SP 800-53 Rev. 5 «Security and Privacy Controls for Information Systems and Organizations» — каталог controls для управління кібербезпекою і приватністю інформаційних систем. Опубліковано у вересні 2020, з регулярними оновленнями.

Структура:

  • 20 control families (категорій), позначаються двома літерами: AC (Access Control), AU (Audit and Accountability), SC (System and Communications Protection) тощо.
  • Понад 1000 окремих controls і control enhancements.
  • Контрольні набори (baselines): Low, Moderate, High — для систем різного рівня критичності за FIPS 199.

20 control families

FamilyНазваПриклад control
ACAccess ControlAC-3 (Access Enforcement)
ATAwareness and TrainingAT-2 (Literacy Training and Awareness)
AUAudit and AccountabilityAU-2 (Event Logging)
CAAssessment, Authorization, MonitoringCA-7 (Continuous Monitoring)
CMConfiguration ManagementCM-6 (Configuration Settings)
CPContingency PlanningCP-9 (System Backup)
IAIdentification and AuthenticationIA-2 (Identification and Authentication)
IRIncident ResponseIR-4 (Incident Handling)
MAMaintenanceMA-4 (Nonlocal Maintenance)
MPMedia ProtectionMP-7 (Media Use)
PEPhysical and Environmental ProtectionPE-3 (Physical Access Control)
PLPlanningPL-2 (System Security Plan)
PMProgram ManagementPM-9 (Risk Management Strategy)
PSPersonnel SecurityPS-3 (Personnel Screening)
PTPII Processing and TransparencyPT-3 (PII Processing Purposes)
RARisk AssessmentRA-3 (Risk Assessment)
SASystem and Services AcquisitionSA-11 (Developer Testing)
SCSystem and Communications ProtectionSC-8 (Transmission Confidentiality)
SISystem and Information IntegritySI-2 (Flaw Remediation)
SRSupply Chain Risk ManagementSR-3 (Supply Chain Controls)

Mapping НД ТЗІ 2.5-004-99 на NIST controls

Приклади з конкретними кодами controls:

Функція UBDНД ТЗІ вимогаNIST 800-53 controlПокриття
Ідентифікація користувачівБ.1 (ідентифікація)IA-2 (Identification and Authentication)Повне
Контроль доступуБ.3 (керування доступом)AC-3 (Access Enforcement)Повне
WORM-журналБ.2 (реєстрація подій)AU-2 (Event Logging), AU-9 (Protection of Audit Information)Повне
КриптографіяБ.6 (криптозахист)SC-13 (Cryptographic Protection)Повне (з ДСТУ 4145, 7624)
Шифрування at-restБ.7 (захист від спостереження)SC-28 (Protection of Information at Rest)Повне
Шифрування in-transitЧастково Б.7SC-8 (Transmission Confidentiality)Повне (TLS 1.3)
Резервне копіюванняБ.10 (резервування)CP-9 (System Backup), CP-10 (System Recovery)Повне (з конфігурованими скриптами)
Виявлення інцидентівБ.11 (моніторинг)SI-4 (System Monitoring), IR-4 (Incident Handling)Часткове (UBD журналює; SOC будується окремо)
Двофакторна автентифікаціяНе явно в НД ТЗІIA-2(1), IA-2(2) (MFA)Повне
Контроль цілісності журналуБ.2AU-10 (Non-repudiation), AU-9Повне (chain integrity)

Що покривається повністю, частково, потребує додаткового

Класифікація сили покриття:

Повне технічне покриття

UBD реалізує control повністю на технічному рівні. Замовнику достатньо посилання на функцію UBD + підтвердження її коректного налаштування.

Приклади: AC-3 (Access Enforcement), AU-2 (Event Logging), SC-8 (Transmission Confidentiality), SC-13 (Cryptographic Protection), IA-2 (Authentication).

Часткове технічне покриття

UBD реалізує technical частину, але control також вимагає процесних/організаційних заходів від замовника.

Приклад: IR-4 (Incident Handling). UBD журналює події, дає інструменти для дослідження. Але сам процес реагування (хто, коли, як) — встановлюється замовником.

Не покривається UBD (організаційне)

Control стосується процесів, не технології. UBD не може його реалізувати — це робить замовник.

Приклади: PS-3 (Personnel Screening), PE-3 (Physical Access Control), AT-2 (Awareness Training), PM-9 (Risk Management Strategy).

Коли потрібен mapping

  • Міжнародні замовники: комерційні клієнти з ЄС/США питають про 800-53 compliance як стандарт оцінки постачальників.
  • Міжнародна взаємодія: для систем, що інтегруються з партнерськими платформами або обмінюються інформацією з міжнародними організаціями.
  • Audit international banks: банки з міжнародним capital, що працюють під SOX/Basel, вимагають NIST mapping для своїх постачальників.
  • Cloud providers: Microsoft Azure, AWS, Google Cloud мають NIST 800-53 у своїх compliance frameworks; для співпраці корисний mapping.
  • Цифрова трансформація держустанов: деякі міжнародні гранти і програми вимагають саме NIST framework.

Як готувати mapping-документ

Структура документа:

  1. Опис системи (2-5 сторінок).
  2. Зведена таблиця: NIST control → стан реалізації (Implemented / Partially / Not Applicable / Inherited from UBD).
  3. Для кожного Implemented і Partially — детальний опис: як реалізовано, де доказ (посилання на функцію UBD, конфігурацію, документ).
  4. Для Not Applicable — обґрунтування.
  5. Inherited from UBD — посилання на експертний висновок і відповідну функцію.
  6. Контрольні докази: screenshots конфігурації, виписки з журналу, посилання на КСЗІ-пакет.

Орієнтовний обсяг: 40-150 сторінок для Moderate baseline. Підготовка — 2-6 тижнів якщо КСЗІ-пакет вже існує.

ISO/IEC 27001 — суміжний фреймворк

Багато міжнародних замовників питають про ISO 27001, а не про NIST. Mapping простіший:

  • ISO/IEC 27001 Annex A controls — переважно прямий mapping на NIST families.
  • НД ТЗІ покриває значну частину Annex A архітектурно.
  • ISO 27001 — це сертифікація ISMS (системи менеджменту), не системи. Тобто крім mapping технологій, потрібний управлінський шар.
[ ПРАКТИЧНА РЕАЛІЗАЦІЯ ]
Готові mapping-таблиці UBD

UBD має готові mapping-таблиці НД ТЗІ → NIST 800-53 → ISO/IEC 27001 для більшості control families. Це не маркетинговий PDF, а робочий документ з посиланнями на конкретні функції платформи, конфігураційні параметри, описи у експертному висновку Г-3. Документ надається партнерам для прискорення підготовки compliance-документації під конкретних замовників.

UnityBaseDefense — технічна довідка →

← Усі статті: Регуляторика на практиці  ·  Глосарій